SQL Server Security: Identitäten, Verschlüsselung und Auditing

SQL Server 2025 Security (2T)

Markiert sind nur Thema 2 und Thema 5. Always Encrypted, Secure Enclaves, Dynamic Data Masking, Row-Level Security und Ledger bleiben bewusst unmarkiert - das sind 2016- bis 2022-Funktionen.

• Tag 1: 1. Härtung und sichere Konfiguration
  
  • Surface Area reduzieren und Dienste minimieren
  • Wichtige sicherheitsrelevante Serverkonfigurationen
  • Berechtigungen auf das Dateisystem
  • Richtlinienbasierte Verwaltung und Best Practices Assessment
  • Patch- und Update-Disziplin
  • Praxis-Übung: Eine Instanz anhand einer Härtungs-Checkliste prüfen und nachschärfen.
  
  
• 2. Identitäten und Authentifizierung
  
  • Authentifizierungsmodi und sichere Logins
  • Entra-ID-Logins für zentrale Identitäten (2025)
  • Managed Identity für ausgehende Aufrufe (2025)
  • Stärkeres Passwort-Hashing und Passwortrichtlinien (2025)
  • Contained Databases und ihre Sicherheitsaspekte
  • Praxis-Übung: Einen Entra-ID-Login einrichten und die Anmeldung prüfen.
  
  
• 3. Berechtigungen und Rollenmanagement
  
  • Berechtigungskonzept: Prinzipale, Sicherungsobjekte und Rechte
  • Server- und Datenbankrollen sinnvoll einsetzen
  • sysadmin-Berechtigung und ihre Risiken
  • Trennung von Verwaltungs- und Datenzugriffsrechten
  • Kontextwechsel mit EXECUTE AS
  • Praxis-Übung: Ein Rollen- und Berechtigungskonzept mit minimalen Rechten umsetzen.
  
  
• 4. Service-Konten, Proxies und Angriffsfläche
  
  • Geeignete Service-Konten auswählen
  • Agent-Job-Proxies für Aufgaben mit unterschiedlichen Rechten
  • Linked Servers und ihre Risiken
  • Netzwerk- und Endpunkt-Absicherung
  • Praxis-Übung: Einen Agent-Job mit einem eingeschränkten Proxy einrichten.
  
  
• Tag 2: 5. Verbindungs- und Datenverschlüsselung
  
  • Verbindungsverschlüsselung mit TDS 8.0 über TLS 1.3 (2025)
  • Transparent Data Encryption für ruhende Daten
  • Schlüsselverwaltung und Schlüsselhierarchie
  • Backups und Schlüssel sicher aufbewahren
  • Praxis-Übung: Die TDS-8.0-Verschlüsselung prüfen und TDE für eine Datenbank aktivieren.
  
  
• 6. Schutz sensibler Daten
  
  • Always Encrypted für Daten in Verwendung
  • Always Encrypted mit Secure Enclaves
  • Dynamic Data Masking für den Anzeigeschutz
  • Row-Level Security für zeilenbezogene Sichtbarkeit
  • Sensible Spalten klassifizieren
  • Praxis-Übung: Eine sensible Spalte mit Always Encrypted oder Maskierung schützen.
  
  
• 7. Auditing und Nachvollziehbarkeit
  
  • SQL Server Audit: Server- und Datenbank-Audit-Spezifikationen
  • Ledger Tables für eine manipulationssichere Historie
  • DDL-, DML- und Logon-Trigger gezielt einsetzen
  • Bezug zu Compliance-Anforderungen wie DSGVO und GoBD
  • Praxis-Übung: Ein Server-Audit einrichten und eine Tabelle als Ledger führen.
  
  
• 8. Sicherheitsmonitoring, Defender for SQL und Peer-Review
  
  • Sicherheitsrelevante Ereignisse mit Extended Events erfassen
  • Microsoft Defender for SQL und Vulnerability Assessment
  • Alerts und Weiterleitung sicherheitsrelevanter Ereignisse
  • Praxis-Übung (Peer-Review): Das Sicherheitskonzept einer anderen teilnehmenden Person gegen eine Checkliste prüfen und die Rückmeldungen einarbeiten.
    
    
    
    
  
  

• Datenbankadministratoren, die SQL Server sicher betreiben
• IT-Architekten und Sicherheitsverantwortliche für Datenbanken
• DevOps-Verantwortliche mit Verantwortung für Datenzugriff
• Technische Verantwortliche für Datenschutz und Compliance

Voraussetzungen: Die Teilnehmenden bringen Grundkenntnisse im Umgang mit SQL Server und relationalen Datenbanken sowie Erfahrung in der Administration von Server- oder Datenbankinfrastrukturen mit. Grundlagenwissen zur Windows-Sicherheit ist hilfreich.