重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。
本文详细介绍了对 SQL 漏洞评估服务规则所做的更改。 下面概述了更新、删除或添加的规则。 有关 SQL 漏洞评估规则的更新列表,请参阅 SQL 漏洞评估规则。
2023年9月
| 规则编号 |
规则标题 |
更改详细信息 |
| VA1018 |
应安装最新更新 |
逻辑更改 |
2023 年 7 月
| 规则编号 |
规则标题 |
更改详细信息 |
| VA2129 |
对已签名模块的更改应获得授权 |
逻辑更改 |
2022 年 6 月
| 规则编号 |
规则标题 |
更改详细信息 |
| VA2129 |
对已签名模块的更改应获得授权 |
逻辑更改 |
| VA1219 |
应启用透明数据加密 |
逻辑更改 |
| VA1047 |
应为所有 SQL 登录名启用密码过期检查 |
逻辑更改 |
2022 年 1 月
| 规则编号 |
规则标题 |
更改详细信息 |
| VA1288 |
应对敏感数据列进行分类 |
已删除的规则 |
| VA1054 |
最小主体集应该是固定高影响数据库角色的成员 |
逻辑更改 |
| VA1220 |
应通过 TLS 保护使用 TDS 的数据库通信 |
逻辑更改 |
| VA2120 |
应禁用可能影响安全性的功能 |
逻辑更改 |
| VA2129 |
对已签名模块的更改应获得授权 |
逻辑更改 |
2021 年 6 月
| 规则编号 |
规则标题 |
更改详细信息 |
| VA1220 |
应通过 TLS 保护使用 TDS 的数据库通信 |
逻辑更改 |
| VA2108 |
最小主体集应该是固定高影响数据库角色的成员 |
逻辑更改 |
2020 年 12 月
| 规则编号 |
规则标题 |
更改详细信息 |
| VA1017 |
应撤销对所有用户(dbo 除外)的xp_cmdshell执行权限 |
标题和说明更改 |
| VA1021 |
应删除全局临时存储过程 |
已删除的规则 |
| VA1024 |
应启用 C2 审核模式 |
已删除的规则 |
| VA1042 |
对于除 master、msdb和 tempdb 之外的所有数据库,应禁用数据库所有权链接 |
说明更改 |
| VA1044 |
除非特别需要,否则应禁用远程管理员连接 |
标题和说明更改 |
| VA1047 |
应为所有 SQL 登录名启用密码过期检查 |
标题和说明更改 |
| VA1051 |
应在所有数据库上禁用AUTO_CLOSE |
说明更改 |
| VA1053 |
应重命名或禁用默认名称为“sa”的帐户 |
说明更改 |
| VA1067 |
数据库邮件 XP 在不使用时应禁用 |
标题和说明更改 |
| VA1068 |
不应直接向主体授予服务器权限 |
逻辑更改 |
| VA1069 |
应从非 sysadmins 撤消从系统表和视图中进行选择的权限 |
已删除的规则 |
| VA1090 |
确保所有政府关机(GOTS)和自定义存储过程都已加密 |
已删除的规则 |
| VA1091 |
当“登录审核”设置为跟踪登录名时,应同时启用对成功和失败登录尝试(默认跟踪)的审核 |
说明更改 |
| VA1098 |
任何现有的 SSB 或镜像终结点都应需要 AES 连接 |
逻辑更改 |
| VA1103 |
仅对SAFE_ACCESS权限使用 CLR |
已删除的规则 |
| VA1219 |
应启用透明数据加密 |
说明更改 |
| VA1229 |
注册表和 SQL Server 配置中的文件流设置应匹配 |
已删除的规则 |
| VA1230 |
应禁用 Filestream |
说明更改 |
| VA1231 |
应禁用 Filestream (SQL) |
已删除的规则 |
| VA1234 |
应启用通用条件设置 |
已删除的规则 |
| VA1235 |
应禁用复制 XP |
标题、说明和逻辑更改 |
| VA1252 |
通过服务器审核规范审核和集中管理的事件列表。 |
已删除的规则 |
| VA1253 |
通过服务器审核规范审核和集中管理的数据库范围事件列表。 |
已删除的规则 |
| VA1263 |
列出系统中的所有活动审核 |
已删除的规则 |
| VA1264 |
应同时启用成功和失败登录尝试的审核 |
说明更改 |
| VA1266 |
应在所有 SQL 登录名上设置“MUST_CHANGE”选项 |
已删除的规则 |
| VA1276 |
应禁用代理 XP 功能 |
已删除的规则 |
| VA1281 |
应面向用户定义的角色的所有成员身份 |
逻辑更改 |
| VA1282 |
应删除孤立角色 |
逻辑更改 |
| VA1286 |
不应将数据库权限直接授予主体(OBJECT 或 COLUMN) |
已删除的规则 |
| VA1288 |
应对敏感数据列进行分类 |
说明更改 |
| VA2030 |
应向最小主体集授予数据库范围的 SELECT 或 EXECUTE 权限 |
已删除的规则 |
| VA2033 |
应向最小主体集授予对对象或列的数据库范围的 EXECUTE 权限 |
说明更改 |
| VA2062 |
数据库级防火墙规则不应授予过多的访问权限 |
说明更改 |
| VA2063 |
服务器级防火墙规则不应授予过度访问权限 |
说明更改 |
| VA2100 |
应向最小主体集授予影响最大的服务器范围权限 |
已删除的规则 |
| VA2101 |
应向最小主体集授予对服务器范围的中等影响权限 |
已删除的规则 |
| VA2102 |
应向最小主体集授予影响较低的服务器范围权限 |
已删除的规则 |
| VA2103 |
应撤销对扩展存储过程的不必要的执行权限 |
逻辑更改 |
| VA2104 |
应从 PUBLIC 撤消对扩展存储过程的执行权限 |
已删除的规则 |
| VA2105 |
不应轻易猜出登录密码 |
已删除的规则 |
| VA2108 |
最小主体集应该是固定高影响数据库角色的成员 |
逻辑更改 |
| VA2111 |
应删除示例数据库 |
逻辑更改 |
| VA2112 |
应撤销来自 DATA Transformation Services (DTS) 的 PUBLIC 权限 |
已删除的规则 |
| VA2113 |
仅应向 SSIS 角色授予数据转换服务 (DTS) 权限 |
说明和逻辑更改 |
| VA2114 |
最小主体集应该是影响较高的固定服务器角色的成员 |
逻辑更改 |
| VA2115 |
最小主体集应该是中等影响固定服务器角色的成员 |
已删除的规则 |
| VA2120 |
应禁用可能影响安全性的功能 |
逻辑更改 |
| VA2121 |
应禁用“OLE 自动化过程”功能 |
标题和说明更改 |
| VA2123 |
应禁用“远程访问”功能 |
已删除的规则 |
| VA2126 |
应禁用可能影响安全性的功能 |
标题、说明和逻辑更改 |
| VA2127 |
应禁用“外部脚本”功能 |
已删除的规则 |
| VA2129 |
对已签名模块的更改应获得授权 |
平台更新 |
| VA2130 |
跟踪有权访问数据库的所有用户 |
说明和逻辑更改 |
后续步骤