Презентация с форума http://hackit-ukraine.com/
Евгений Недашковский
Старший администратор БД в AltaReturn.
SQL Server Security Best Practices
О спикере: Работает с MS SQL Server более пяти лет. Среди предыдущих мест работы присутствуют такие гиганты как УкрАВТО, Укртелеком и КПМГ Украина. Евгений специализируется на высоконагруженных кластеризированных корпоративных системах. Ему есть что рассказать о особенностях работы с базами данных в большом энтерпрайзе как со стороны производительности, так и со стороны безопасности.
Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...
ИТ-среды буквально утопают в потоках сетевых данных и данных безопасности, что еще больше усложняет управление безопасностью и развертывание систем защиты от угроз. Традиционные API-интерфейсы обладают чрезвычайно ограниченным набором функций, небезопасны, поддерживают конкретные платформы и поэтому не способны предоставить практическое решение. Cisco Platform Exchange Grid (pxGrid) позволяет всем разнообразным платформам разных поставщиков в одной среде безопасно обмениваться информацией с обеспечением абсолютного контроля в обоих направлениях. Все это реализовано автоматически в реальном времени без необходимости использования API-интерфейсов для конкретных платформ.
Использование средств шифрования для обеспечения конфиденциальности в процесс...
Презентация работы Забоева Д.
Выполнена на Кафедре Защиты Информации Факультета Информационных Систем и Технологий СыктГУ.
Подробнее: http://www.kzissu.ru/paper/kursovye-raboty/35 (доступ закрытый)
Совместные решения по защите удаленного доступа с использованием сертифицированных средств.
- Сертифицированный Виртуальный VPN Шлюз для Citrix XenServer.
- Совместные решения с Citrix Netscaler
- Решение по защите удаленного терминального доступа VPN к инфраструктуре VDI.
- Защита удаленного доступа с мобильных устройств.
Odin VDI от IBS: экономичный, сертифицированный, российский // Сергей Бобров ...
Конференция "InterLab Forum. Системная интеграция нового поколения" прошла в октябре 2015 года. В центре внимания форума были новые решения в области ИТ-инфраструктуры и информационной безопасности, недавно появившиеся на российском рынке и прошедшие апробацию в IBS.
Подробности: http://www.ibs.ru
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...
24.10.2015 года “Компания" подверглась хакерской атаке, в процессе расследования этого инцидента, была выявлена подобная активность злоумышленников и на другие предприятия в масштабах Украины, проанализированы методы и тактика проникновения в инфраструктуру жертвы. Результаты данного расследования будут освещены в докладе.
Cisco pxGrid: автоматизация передачи данных по нескольким платформам благодар...Cisco Russia
ИТ-среды буквально утопают в потоках сетевых данных и данных безопасности, что еще больше усложняет управление безопасностью и развертывание систем защиты от угроз. Традиционные API-интерфейсы обладают чрезвычайно ограниченным набором функций, небезопасны, поддерживают конкретные платформы и поэтому не способны предоставить практическое решение. Cisco Platform Exchange Grid (pxGrid) позволяет всем разнообразным платформам разных поставщиков в одной среде безопасно обмениваться информацией с обеспечением абсолютного контроля в обоих направлениях. Все это реализовано автоматически в реальном времени без необходимости использования API-интерфейсов для конкретных платформ.
Использование средств шифрования для обеспечения конфиденциальности в процесс...kzissu
Презентация работы Забоева Д.
Выполнена на Кафедре Защиты Информации Факультета Информационных Систем и Технологий СыктГУ.
Подробнее: http://www.kzissu.ru/paper/kursovye-raboty/35 (доступ закрытый)
Webinar совместные решения Citrix и S-TerraSergey Slepkov
Совместные решения по защите удаленного доступа с использованием сертифицированных средств.
- Сертифицированный Виртуальный VPN Шлюз для Citrix XenServer.
- Совместные решения с Citrix Netscaler
- Решение по защите удаленного терминального доступа VPN к инфраструктуре VDI.
- Защита удаленного доступа с мобильных устройств.
Odin VDI от IBS: экономичный, сертифицированный, российский // Сергей Бобров ...IBS
Конференция "InterLab Forum. Системная интеграция нового поколения" прошла в октябре 2015 года. В центре внимания форума были новые решения в области ИТ-инфраструктуры и информационной безопасности, недавно появившиеся на российском рынке и прошедшие апробацию в IBS.
Подробности: http://www.ibs.ru
Алексей Ясинский - Опыт расследования современных кибер-атак на примере Black...HackIT Ukraine
24.10.2015 года “Компания" подверглась хакерской атаке, в процессе расследования этого инцидента, была выявлена подобная активность злоумышленников и на другие предприятия в масштабах Украины, проанализированы методы и тактика проникновения в инфраструктуру жертвы. Результаты данного расследования будут освещены в докладе.
AWS July Webinar Series: Amazon Redshift Optimizing PerformanceAmazon Web Services
This document provides an overview and best practices for optimizing performance on Amazon Redshift. It discusses topics like data distribution, sort keys, compression, loading data efficiently, vacuum operations, and query processing. The webinar agenda covers architecture, distribution styles, sort keys, compression, workload management and more. Examples are provided to demonstrate how different techniques can significantly improve query performance. Administrative scripts and views are also recommended as helpful tools.
AWS re:Invent 2016: Best Practices for Data Warehousing with Amazon Redshift ...Amazon Web Services
Analyzing big data quickly and efficiently requires a data warehouse optimized to handle and scale for large datasets. Amazon Redshift is a fast, petabyte-scale data warehouse that makes it simple and cost-effective to analyze all of your data for a fraction of the cost of traditional data warehouses. In this session, we take an in-depth look at data warehousing with Amazon Redshift for big data analytics. We cover best practices to take advantage of Amazon Redshift's columnar technology and parallel processing capabilities to deliver high throughput and query performance. We also discuss how to design optimal schemas, load data efficiently, and use work load management.
AWS November Webinar Series - Advanced Analytics with Amazon Redshift and the...Amazon Web Services
Amazon Machine Learning is a service that makes it easy for developers of all skill levels to use machine learning technology and Amazon Redshift is a fast, fully managed, petabyte-scale data warehouse that makes it simple and cost-effective to efficiently analyze all your data using your existing business intelligence tools. The combination of the two can provide a solution to power advanced analytics for not only what has happened in the past, but make intelligent predictions about the future. Please join this webinar to learn how get the most value from your data for your data driven business.
Learning Objectives:
How to scale your Redshift queries with user-defined functions (UDFs)
How to apply Machine learning to historical data in Amazon Redshift
How to visualize your data with Amazon QuickSight
Present a reference architecture for advanced analytics
Who Should Attend:
Application developers looking to add UDFs, or predictive analytics to their applications, database administrators that need to meet the demand of data driven organizations, decision makers looking to derive more insight from their data
(BDT401) Amazon Redshift Deep Dive: Tuning and Best PracticesAmazon Web Services
Get a look under the covers: Learn tuning best practices for taking advantage of Amazon Redshift's columnar technology and parallel processing capabilities to improve your delivery of queries and improve overall database performance. This session explains how to migrate from existing data warehouses, create an optimized schema, efficiently load data, use work load management, tune your queries, and use Amazon Redshift's interleaved sorting features. Finally, learn how TripAdvisor uses these best practices to give their entire organization access to analytic insights at scale.
Take an in-depth look at data warehousing with Amazon Redshift and get answers to your technical questions. We will cover performance tuning techniques that take advantage of Amazon Redshift's columnar technology and massively parallel processing architecture. We will also discuss best practices for migrating from existing data warehouses, optimizing your schema, loading data efficiently, and using work load management and interleaved sorting.
Основные аспекты управления веб-проектом в Microsoft Azure WebsitesArtur Baranok
Основные аспекты управления веб-проектом в Microsoft Azure Websites. Cоздание сайта из коллекции веб-приложений, выбор СУБД, средства развертывания, сервис Kudu, привязка собственного домена, использование HTTPS. Артур Баранок, Azure MVP
Microsoft Azure - введение в основные сервисы для разработки и инфраструктуры...Microsoft
В рамках доклада для стартапов будут представлены преимущества получения бесплатных мощностей облачной платформы Microsoft Azure, которые можно использовать для быстрого старта своего проекта.
"В поисках уязвимостей мобильных приложений", Алексей ГолубевHackIT Ukraine
Сейчас практически каждая организация помимо официального веб сайта имеет мобильное приложения для предоставления услуг мобильным пользователям. При этом в отличии от традиционных веб сайтов, которые в большинстве своем использую готовые фреймворки, очищенные от уязвимостей, мобильное API зачастую проектируется отдельно под каждый проект. Такой подход неизбежно ведет за собой разного рода ошибки и отсутствие четкой стандартизации. Тем не менее разработчики от Ebay до мелких компаний совершают одни и те же ошибки, которые ведут к взлому аккаунтов, утечки данных, спаму пользователей и т.д. Недоработки в работе в этой среде процветает даже у огромных компаний.
"Безопасность и надежность ПО в техногенном мире", Владимир ОбризанHackIT Ukraine
В докладе на примерах будет рассказано о возрастающей роли безопасности и надежности программного обеспечения в современном мире. Особенность сегодняшнего дня — проникновение компьютерного управления во все сферы деятельности: медицина, финансы, транспорт, логистика и другие. Может ли ненадежное ПО привести к финансовым потерям? Сорвать планы на отпуск? Вывести из строя фабрику? Убить человека?
"Технология блокчейн: новые возможности и новые уязвимости", Дмитрий КайдаловHackIT Ukraine
Блокчейн — новая технология, которая лежит в основе децентрализованной платежной системы Биткоин и других криптовалют. К настоящему времени она обрела значительную популярность и сейчас по праву считается прорывной для финансового мира. Однако, с ростом популярности участились случаи успешного осуществления разнообразных атак на блокчейн системы.
В докладе рассмотрена технология блокчейн в целом, ее наиболее значимые инновации, детально разобран ряд конкретных атак на популярные системы и проанализированы факторы, которые привели к появлению таких атак.
"Безопасные Биткоин-транзакции без специального оборудования", Алексей КаракуловHackIT Ukraine
Одна из трудностей в использовании Биткоина — в том, что безопасность плохо сочетается с удобством. Секретные ключи от кошелька можно хранить в офлайне многими способами, однако проблема возникает, когда мы хотим потратить биткоины. Если приложение для кошелька используется на скомпрометированной системе, простого трояна достаточно, чтобы слить секретные ключи.
На сегодняшний день популярны два безопасных способа использования Биткоина: аппаратный кошелёк и «холодный кошелёк» на изолированном компьютере. Оба способа непривлекательны для новых пользователей: надёжные аппаратные кошельки достаточно дорогие, а холодные кошельки не слишком портативны и пока неудобны в использовании.
Я продемонстрирую процедуру исполнения Биткоин транзакций с переходом в офлайн режим перед вводом секретного ключа на примере ОС Tails и кошелька Electrum. Хотя процедура не даёт таких же гарантий безопасности, как холодный кошелёк, она не требует отдельного устройства для кошелька, и при этом значительно безопаснее, чем использование Биткоина на обычной десктопной ОС
"Как ловят хакеров в Украине", Дмитрий ГадомскийHackIT Ukraine
Украина стабильно входит в десятку государств, с территории которых чаще всего инициируются кибератаки. А вот украинские правоохранительные органы пока и близко не подобрались к десятке стран мира, которые ловят хакеров наилучшим образом. В Украине есть смешные, грустные, нашумевшие, интересные и скучные уголовные дела по хакингу. В нескольких уголовных делах по хакингу Дима принимал участие в качестве адвоката CitiBank и швейцарского промышленного гиганта, в некоторых — как консультант, а в каких-то случаях помогал советами, о которых его не просили. Дима расскажет, как он с белыми хакерами в течении 48 часов и 4 литров кофе делали работу за киберполицию, как суд в Николаеве вообще не понимал ничего, как обманывает пользователей Forex, и о других обстоятельствах, которые больше не являются адвокатской тайной.
The software security depends largely on how the system was designed, developed and deployed, so at this time it is necessary to take into account the security requirements already at the stage of requirements development and software design. There are some different approaches to security requirements engineering, each of them has its advantages and disadvantages. During the speech, methods of security requirements engineering, identifying parties, identifying and assessing the risks of software assets, tracking implementation of requirements, etc. will be considered.
"Наступну атаку можна попередити", Олександр ЧубарукHackIT Ukraine
Багато компаній покладаються на технології ІТ-безпеки, засновані на принципах виявлення атак, а не на їх запобігання. Такий фрагментований підхід фокусується на виправленні наслідків вже реалізованої атаки! На сьогоднішній день є потреба у зміні курсу і впровадженні нової архітектури, що дозволяє запобігати атакам.
"Preventing Loss of Personal Data on a Mobile Network", Oleksii LukinHackIT Ukraine
1. The document discusses preventing loss of personal data on a mobile network by addressing technical attacks and risks. It defines personal data as customer information like names, locations, call records, and payment details that are processed and stored on network and IT systems.
2. Attacks on the mobile network, signaling infrastructure, radio access network, internet, internal networks and business support systems are outlined. Risks include hacking, fraud, and unauthorized access to or corruption of customer data. Controls proposed include firewalls, encryption, access controls, monitoring and security best practices.
3. Managing risks to personal data requires ongoing assessment, testing, monitoring and incident response as technologies and attacks evolve over time. Security must be applied across
"How to make money with Hacken?", Dmytro BudorinHackIT Ukraine
This presentation features proprietary research conducted by Cybersecurity Ventures. Please see https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016 for a complete report
It also explains possible ways to earn money, advantages of cryptocurrency Hacken.
"Using cryptolockers as a cyber weapon", Alexander AdamovHackIT Ukraine
1) The document traces the origins of ransomware back to 1989 with the creation of the AIDS Trojan which encrypted files and demanded payment.
2) It discusses early proof-of-concept ransomware in the 1990s and 2000s that used encryption and demanded small payments.
3) By the 2010s, ransomware like Cerber, Spora, and Locky were infecting victims worldwide and highlighting the global impact of ransomware attacks. Events like the NotPetya attack in 2017 caused widespread damage.
"Cryptography, Data Protection, and Security For Start-Ups In The Post Snowde...HackIT Ukraine
The revelations of the Snowden Leaks and other events in modern internet times have resulted in a need for developers and security professionals working on start-up companies to rethink not just security policies and procedures but overall architecture more broadly. Cryptographic systems in communications systems have seen the largest architectural changes. However, changes are also required in data storage architecture and even networking architecture.
This talk will discuss means and methodologies for building secure, robust, and resilient start-up computing architectures. Common attacks that impact startups, data compromises, and DDoS attacks will be discussed. The impact of the required adaptations in infrastructure and software design on existing common business models, like AdRev, will be touched on.
"Bypassing two factor authentication", Shahmeer AmirHackIT Ukraine
This research provides an insight to bypassing two factor authentication mechanisms in multiple ways. The goal is to demonstrate theoretically as to how common two factor authentication protected systems can be bypassed using simple techniques. This has been done by examining many systems and a practical approach has been utilized in order to dig out realistic methodologies which can be used to bypass two factor authentication systems in web based systems. By proving that the author aims to provide a basis of research to future researchers for bypassing 2fa in other such techniques.
"Системы уникализации и идентификации пользователей в сети. Методы защиты от ...HackIT Ukraine
В докладе будет рассказано о современных методиках уникализации и последующей идентификации пользователей, таких как WebRTC Fingerprint, WebGL Fingerprint, Canvas Fingerprint, ClientRect Fingerprint, AudioContext Fingerprint, Ubercookies Fingerprint, отпечаток GPU и многое другое, о применении данных методик для выявления мошенников, предотвращения использования мультиаккаунтов, расследования киберпреступлений и конечно рекламного таргетинга.
Have you ever dreamed of getting paid to hack?!
As a Bug Hunter, this is what its all about, you hack and find vulnerabilities in software and websites, then end up with profit and fame.
In this session, I will explain to you how to start your journey in bug hunting, Are you ready?
"Hack it. Found it. Sell it. How hackers can be successful in the business wo...HackIT Ukraine
Ryan Lackey is the founder of ResetSecurity and argues that hacking experience provides an excellent background for starting a business. Some key lessons Lackey learned include working on interesting problems, being around smart people, finding new technology, knowing regulations, doing ambitious things, solving problems in difficult places, minimizing dependencies, scaling what works, and trying new things. Overall, Lackey believes hacking skills translate well to entrepreneurship.
"15 Technique to Exploit File Upload Pages", Ebrahim HegazyHackIT Ukraine
During the session we will go through different methods of exploiting file upload pages in order to trigger Remote Code Execution, SQL Injection, Directory Traversal, DOS, Cross Site Scripting and else of web application vulnerabilities with demo codes. Also, we will see things from both Developers and Attackers side. What are the protections done by Developers to mitigate file upload issues by validating File Name, File Content-Type, actual File Content and how to bypass it All using 15 Technique!
Alfonso De Gregorio - Vulnerabilities and Their Surrounding Ethical Questions...HackIT Ukraine
Уязвимость нулевого дня - недостатки программного обеспечения, которые известны некоторым,кто мог бы уменьшить их конкретные негативные последствия - приобретают заметную роль в современной разведке, национальной безопасности и правоохранительных операциях. В то же время, отсутствие прозрачности и подотчетности в их торговле и адаптаци, их возможная чрезмерная эксплуатации или злоупотребление, скрытый конфликт интересов со стороны субъектов обращения с ними, а также их потенциальный двойной эффект могут представлять социальные риски или приводят к нарушению прав человека. Если оставить без внимания эти проблемы связанные с использованием 0-day, то это ставит под сомнение законность уязвимостей нулевого дня в качестве инструментов реализации национальных операций по обеспечению безопасности и правоохранительных органов и приводят к явному уменьшению пользы, чтобы их адекватно применяли для целей судебной системы, обороны и разведки. Эта работа исследует то, что частный сектор участвует в торговле уязвимости нулевого дня может сделать так, чтобы было обеспечено соблюдение прав человека и доброкачественное и полезное использования обществом этих возможностей. После рассмотрения того, что может пойти не так в приобретении уязвимости нулевого дня, статья вносит свой вклад в первый кодекс этики, ориентированный на торговлю информации об уязвимостях, в которой автор излагает шесть принципов и восемь соответствующих этических норм, направленных соответственно на руководство и на регулирование проведения этого бизнеса.
Владимир Махитко - Automotive security. New challengesHackIT Ukraine
Задача доклада - рассмотреть автомобильною безопасность как новое направление в кибер безопасности. Показать текущее состояние, главные опасения, некоторые примеры, возможные решения и отношение автопроизводителей к вопросам безопасности.
3. Системы управления базами
данных (СУБД)
Система управления базами данных (СУБД) – это
программа, которая позволяет создавать, обновлять и
администрировать базы данных. Большинство систем
управления реляционными базами данных использует
SQL (Structured Query Language) для обеспечения
своей функциональности.
В целом различные СУБД схожи между собой, но
синтаксис языка SQL может немного отличаться.
https://www.codecademy.com/articles/sql-rdbms
4. SQLite
Способен хранить всю базу данных в одном
небольшом файле. Вследствие этого одним из самых
больших преимуществ SQLite является возможность
работы с данными локально, без необходимости
подключения к удалённому серверу.
SQLite является популярным выбором для работы с
базами данных в мобильных гаджетах и портативной
электронике.
5. MySQL
MySQL является самой популярной СУБД с открытым
кодом.
Используется, как правило, для разработки веб-
приложений, часто в связке с PHP.
Основные преимущества MySQL том, что она проста в
использовании, недорога, относительно надёжна
(существует с 1995 г.) и имеет большое сообщество,
в котором могут помочь и ответить на возникающие
вопросы.
Недостатками, без сомнения является плохая
масштабируемость, замедление развития после
перехода под крыло Oracle и отсутствие многих
привычных разработчикам функций.
6. PostgreSQL
PostgreSQL является СУБД с открытым исходным кодом и
контролируется ни одной корпорацией.
Зачастую используется для разработки веб-приложений.
Разделяет многие из тех же преимуществ MySQL, в том
числе простоту в использовании, дешевизну,
надёжность, и большое комьюнити. Она также
предоставляет некоторые дополнительные функции,
такие как поддержка внешнего ключа (foreign key), не
требуя сложной конфигурации.
Основным недостатком является то, что PostgreSQL
медленнее, чем другие СУБД. Из-за своей меньшей
популярности по сравнению с MySQL, не все хостинг-
площадки предоставляют возможность работы с
PostgreSQL.
7. Oracle DB
Oracle DB принадлежит корпорации Oracle и её код не
является открытым.
Oracle используется для больших приложений, в
частности, в банковской сфере. Большинство
крупнейших банков в мире работает с Oracle, потому
что Oracle предлагает мощную комбинацию
технологий и комплексных, интегрированных бизнес-
решений, в том числе разработанных специально для
банков.
Основным недостатком использования Oracle
является то, что данная СУБД является
проприетарной и довольно дорогой.
8. SQL Server
SQL Server принадлежит Microsoft и как и Oracle DB,
её код является закрытым.
SQL Server используется в основном крупными
корпоративными приложениями.
Основное различие между Oracle и SQL Server
заключается в том, что SQL Server поддерживает
только операционную систему Windows.
Microsoft предлагает бесплатную версию начального
уровня под названием SQL Server Express, но с ростом
ваших потребностей стоимость СУБД может
значительно вырасти.
10. Общие рекомендации
Устанавливайте только те компоненты, которые вы будете
использовать. Дополнительные компоненты всегда могут быть
установлены по мере необходимости. Отключите ненужные
службы либо установите из запуск вручную.
Служба SQL Server Browser должна быть запущена только в
случае использования именованных экземпляров SQL Server с
динамическими портами TCP/IP . Для подключения к
экземпляру SQL Server по умолчанию эта служба не нужна. При
использовании именованных экземпляров со статическими
портами, соответствующие данные так же можно указать в
строке подключения.
Служба VSS Writer позволяет осуществлять резервное
копирование и восстановление с помощью технологии теневого
копирования тома (Volume Shadow Copy). Если вы не
используете её – отключите.
Настраивайте только те сетевые интерфейсы, которые вы
намереваетесь использовать.
11. Общие рекомендации
Выработайте политики с учётом разрешённых сетевых
подключений. Используйте SQL Server Policy-Based
Management для их стандартизации.
Выработайте набор политик для использования
дополнительных функций (optional features).
Используйте SQL Server Policy-Based Management для
стандартизации активации дополнительных функций.
Документируйте все исключения из политики на уровне
каждого экземпляра.
Используйте Central Management Servers для
стандартизации и соблюдение политики безопасности по
всем серверам на предприятии.
Используйте Enterprise Policy Management Framework
для консолидации отчётности в масштабах предприятия.
Develop a set of policies for
Use Central Management Se
Use Enterprise Policy Manag
12. Служебные учётные записи
Рекомендуется, чтобы все службы SQL Server службы
запускались из-под отдельных учётных записей.
Лучше всего использовать доменные учётные записи, которые
не являются членами групп администраторов ни в домене, ни на
локальном сервере.
Неплохим вариантом будет использование управляемых учётных
записей (managed service accounts). Управляемая учётная
запись – это отдельный вид доменной учётной записи, которая
закрепляется за компьютером и может использоваться для
запуска служб. Создаётся предварительно администратором
домена. С помощью данной учётной записи невозможно
подключиться к компьютеру и после назначения обеспечивает
автоматическое управление паролями и SPN. Может быть
проблематичным в использовании, так как создаётся и
настраивается только с помощью PowerShell (без помощи
графического интерфейса).
Всегда используйте Configuration Manager SQL Server, для
изменения учётных записей, от которых запущены службы.
13. Служебные учётные записи
Учётная запись службы агента SQL Server требует прав
системного администратора (sysadmin) на уровне инстанса SQL
Server.
Начиная с SQL Server 2005 каждый шаг в задаче агента может
быть настроен на использование прокси, которые
инкапсулируют альтернативные учетные данные. Под учётной
записью (CREDENTAIL) подразумевается объект базы данных в
котором сохраняется имя пользователя ОС и пароль. Одна такая
учётная запись может быть использована для нескольких
прокси. Прокси можно использовать для:
Скриптов ActiveX
Операционной системы (CmdExec)
Агентов репликации
Запрос и команд служб Аналитики (Analysis Services)
Выполнения пакетов SSIS (в т.ч. и планов обслуживания)
PowerShell
14. Использование антивируса
Следующие пути и расширения
файлов необходимо исключить из
проверки антивирусом:
Файлы баз данных (как правило, они имеют следующие расширения):
.mdf
.ldf
.ndf
Файлы резервных копий:
.bak
.trn
Файлы каталогов полнотекстового поиска (обычно находятся по
следующему пути) :
Инстанс по умолчанию: …MSSQLFTDATA
Именованный инстанс: …MSSQL$instancenameFTDATA
15. Использование антивируса
Файлы трассировок (эти файлы могут быть созданы либо
во время создания трассировки вручную, либо при
активации С2 аудита):
.trc
Файлы аудита:
.sqlaudit
Файлы данных службы аналитики (Analysis Services):
…MSSQL.XOLAPData
Файлы резервных копий службы аналитики:
…MSSQL.XOLAPBackup
Файлы журналов службы аналитики:
…MSSQL.XOLAPLog
16. Использование антивируса
Список процессов которые необходимо исключить из
сканирования:
…MSSQL11.<Имя Инстанса>MSSQLBinnSQLServr.exe
…MSRS11.<Имя Инстанса>Reporting
ServicesReportServerBinReportingServicesService.exe
…MSAS11.< Имя Инстанса >OLAPBinMSMDSrv.exe
Антивирус можно использовать на кластеризированных
машинах, но только в том случае, если он
поддерживает кластеризацию. Также убедитесь, что
вы исключили из сканирования следующие директории:
Q: (Quorum drive)
C:WindowsCluster
17. Привилегии администратора
Для упрощения проверки не добавляйте группам роль
администратора (sysadmin). Желательно выдавать
подобные полномочия индивидуальным учётным
записям.
Если локальная builtinadministrators (локальные
администраторы компьютера) имеет
административный доступ на уровне SQL Server,
лучше его забрать.
18. Блокировка системных
хранимых процедур
Отключите xp_cmdshell если в нет ней явной
необходимости.
Отключите компоненты COM после их полной
конвертации в SQLCLR.
Если в отправке почты (Database Mail) нет
необходимости – отключите её.
Используйте Policy-Based Management для
принудительной стандартизации расширенных
процедур.
19. Использование гостевого
пользователя
Логин (login) СУБД может получить доступ к объектам
баз данных только в случае, если он сопоставлен с
соответствующим пользователем (user) внутри.
Существует специальный гостевой пользователь
(guest), который позволяет обойти это правило. Так
как любой логин получает доступ к базе при наличии
в ней гостевого пользователя, не рекомендуется
использовать его где-либо кроме системной базы
MSDB. Так некоторые функции SQL Server станут
недоступными, не удаляйте гостевого пользователя
из базы MSDB.
20. Автономные базы данных
Начиная с SQL Server 2012 был предложен концепт
автономных баз данных (contained databases).
Автономная база данных содержит в себе все
настройки и метаданные для своего
функционирования в пределах инстанса. С точки
зрения безопасности проще ограничить
пользователей конкретной базой данных.
21. Автономные базы данных
Используйте настройку аутентификации по умолчанию,
где опция подключения к автономным базам данных
отключена. Её можно включить при необходимости.
Защитите резервные копии автономных баз данных с
помощью пароля.
Проведите аудит возможностей пользователей и
отдельных модулей внутри автономной базы данных.
Проведите аудит пользователей, имеющих права
перевести базу в автономный режим.
Отключите гостевого пользователя на базах данных,
которые расположены там же, где и автономные.
Избегайте строк подключения с указанием первичного
каталога для тех серверов, где активированы
автономные базы данных.
22. Сетевая безопасность
Активируйте брандмауэр и ограничьте количество используемых
протоколов.
Не активируйте сетевые протоколы если в них нет необходимости.
Отключите протоколы NETBIOS и SMB, если в них нет необходимости.
Не разрешайте машинам, на которых установлен SQL Server выход в
интернет.
Настройте именованные инстансы SQL Server для использования
статических портов TCP/IP вместо динамических.
Настройте инстанс по умолчанию для SQL Server на использование
какого-нибудь другого порта кроме 1433.
Включите опцию сокрытия инстансов SQL Server в сети
Разрешите подключения к логинам только тем конечным точкам
(endpoints), о которых вам известно.
Настройте расширенную (Extended Protection) как для привязки
сервисов так и каналов (service binding and channel binding).
23. Аудит
Аудит является ресурсоёмким процессом. Активируйте
его только с пониманием конкретных задач и целей.
Используйте внутренний аудит SQL Server для наиболее
безлопастного и гранулярного аудита.
Сохраняйте как неудачные так и удачные попытки входа
в систему пользователями, если в базе данных хранятся
высоко конфиденциальные данные.
Активируйте аудит операций изменения (DDL) и
специфических событий сервера путём включения
соответствующих журналов, либо с помощью настройки
нотификаций.
DML (язык модификации данных) может быть отслежен с
помощью трассировки событий (trace events) либо
функции SQL Server Audit.
24. Управление на базе политики
Policy-Based Management (PBM)
Выберите тот аспект (facet) РВМ, который хотите
настроить.
Укажите условие, которые описывает нужный аспект.
Укажите политику, которая содержит необходимое
условие, дополнительное условие которое содержит
целевые фильтры и способ оценки.
Проверьте, удовлетворяет ли выбранный инстанс SQL
Server обозначенной политике.