Entwickler und Administratoren sind laufend gezwungen, ihre Strategien zur Sicherheit von Anwendungen zu überdenken. Dabei ist das nachträgliche Aufstellen von Wachposten eindeutig keine akzeptable Lösung mehr.
Die Grundlagen
Wer mit den grundlegenden Konzepten der SQL Server-Sicherheit noch nicht vertraut ist, sollte hier abbrechen und seine Wissenslücken füllen. Man kann eine Datenbank nicht ordentlich absichern, wenn man diese Konzepte nicht kennt. Vielleicht hilft es, sich die Sicherheitsvorkehrungen am Beispiel eines Autos zu vergegenwärtigen. Es gibt einen Motor, einen Zündschlüssel und all die Prozesse, die in der Zeit ablaufen, die zwischen dem Drehen des Zündschlüssels und dem Starten des Motors vergeht. Hat ein Fahrer von diesen Prozessen keine Ahnung, dürfte die Wahrscheinlichkeit äußerst gering sein, dass er sich bei einer Panne selber helfen kann. Natürlich kann man den Wagen in die Hände eines Mechanikers geben, aber in Sachen Sicherheit einer Anwendung ist man selbst der Datenbank-Mechaniker.
Zunächst besteht die Wahl zwischen zwei Sicherheitsmodi:
Nach Möglichkeit ist der Windows Authentication-Modus zu empfehlen. SQL Server Authentication (Mixed) wird für non-trusted Umgebungen und zur Abwärtskompatibilität mit früheren Versionen von SQL Server bereitgestellt. Windows Authentication ist in das Windows-Sicherheitssystem integriert, das mehr Funktionen zur Verfügung stellt als SQL Server Authentication, in der Regel einfacher zu benutzen, effizienter und sicherer. Man sollte sich schon früh während des Entwicklungsprozesses entscheiden, welchen Modus man einsetzen will.
Passwörter
Mit welchem Modus man auch arbeitet – man sollte das Passwort für den System-Administrator (sa) in SQL Server immer eigenhändig vergeben. Bei der Installation erstellt SQL Server automatisch einen Administrator-Benutzer mit dem SQL Server-Anmeldenamen sa und einem leeren Passwort. Der SQL-Server kann nur dann mit einem leeren sa-Passwort installiert werden, wenn der trusted Modus genutzt wird. Verwendet man den Windows Authentication Mode, sollte die Notwendigkeit eines Passworts für den Benutzer sa theoretisch nicht anfallen, da SQL Server-Anmeldungen nicht akzeptiert werden. Aber es kann auch nicht schaden, trotzdem eines einzurichten, falls man in Zukunft doch einmal in den Mixed Mode wechseln muss.
Wenn der Sicherheitsmodus der Motor ist, sind Anmeldungen die Zündschlüssel, die das Ganze zum Laufen bringen. Man muss über den richtigen Schlüssel verfügen, um die Maschine starten zu können. Mit Anmeldungen ist es genau so. Wenn man nicht den korrekten Benutzernamen und das richtige Passwort eingibt, kann man keine Verbindung zum Netzwerk herstellen und damit auch nicht zum SQL Server.
Als Administrator kann man sofort loslegen, sobald man den Zündschlüssel ins Schloss gesteckt und den Anlasser betätigt hat. Dabei steht zuerst die Definition der folgenden Attribute an:
Page: 1 2
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…