Sécurité et SQL Server 2005

Paru le 24 juin 2005 | Dernière mise à jour le 26 août 2005

En janvier 2002, Microsoft a lancé l'initiative Trustworthy Computing (Informatique de confiance) pour améliorer la sécurité, la confidentialité, la fiabilité et l'intégrité de l’informatique dans les entreprises. Dans le cadre de cette initiative, Microsoft suit des processus de développement qui permettent de s'assurer que les produits sont sécurisés dès la conception, sécurisés par défaut et sécurisés lors du déploiement. L'équipe de développement de SQL Server a intégré ces processus dans le développement de SQL Server 2005, qui est la prochaine version de SQL Server.

Informatique de confiance et SQL Server 2005

L'initiative Trustworthy Computing décrit une infrastructure qui définit les étapes nécessaires à la prise en charge d'une informatique sécurisée ainsi que les mesures vous permettant de mettre en œuvre et gérer un environnement sécurisé. Ces étapes vous permettent de garantir la confidentialité, l'intégrité et la disponibilité des données et systèmes à chaque phase du cycle de vie d'un logiciel. Depuis sa conception, jusqu'à son expédition et sa maintenance. Les objectifs de Microsoft dans le cadre de l'initiative Trustworthy Computing sont les suivants :

•
Réduire les problèmes de sécurité potentiels en s'attachant particulièrement aux étapes de conception et de test d'un produit.
•
Limiter les zones d'attaque potentielles en désactivant les fonctions qui ne sont pas nécessaires. S'assurer également qu'à l'installation, le produit choisisse les valeurs de configuration appropriées pour toutes les options, de sorte que l'installation d'un système soit sécurisée d'emblée.
•
Créer une documentation et communiquer régulièrement les dernières informations de sécurité aux clients pour les aider à maintenir la sécurité et l'intégrité de leur environnement SQL Server.

Pour plus d'informations sur ces objectifs, visitez la page Security Vision and Framework sur le site Trustworthy Computing de Microsoft.

Conformément aux quatre principes de l'initiative Trustworthy Computing, Microsoft et l'équipe SQL Server ont respecté les étapes suivantes :

•
Sécurisation dès la conception. L'équipe de développement SQL Server a mené plusieurs audits de sécurité et passé plus de deux mois à étudier les composants SQL Server et les interactions entre ceux-ci. Pour chaque risque de sécurité, l'équipe a effectué une analyse de menace pour évaluer le problème et a mené à bien des travaux de conception et de test supplémentaires pour neutraliser tout problème de sécurité potentiel. Grâce à ces efforts supplémentaires lors de la conception, SQL Server 2005 inclura de nombreuses nouvelles fonctionnalités de sécurité.
•
Sécurisation par défaut. Lors de l'installation, SQL Server 2005 choisira les valeurs de configuration appropriées pour toutes les options d'installation, et vérifiera d'emblée la sécurisation d'un nouveau système lors de son installation.
•
Sécurisation lors du déploiement. Microsoft a créé une documentation permettant aux entreprises de déployer SQL Server en utilisant des informations d'identification de sécurité appropriées, et de comprendre pleinement les étapes et les autorisations requises. Les outils de déploiement SQL Server procurent les informations requises pour comprendre les décisions que vous devez prendre lors de la phase de déploiement. Par ailleurs, les mises à jour de sécurité sont faciles à trouver et à installer, et si vous choisissez l'option correspondante, les mises à jour s'installent automatiquement. Des outils sont également à votre disposition pour vous permettre d'évaluer et de gérer les risques de sécurité au sein des organisations.
•
Communications. Pour assurer la prise en charge continue d'un déploiement SQL Server, Microsoft fournit des communications liées aux problèmes de sécurité. La page Security Resources fait office de point central pour toutes les informations de sécurité liées à SQL Server, y compris les menaces de sécurité existantes et les correctifs et outils requis pour neutraliser ces menaces.

SQL Server 2005 intégrera des fonctionnalités et améliorations en termes de sécurité qui satisferont aux objectifs de l'initiative Trustworthy Computing. De manière générale, ces fonctionnalités et améliorations entrent dans l'une des catégories suivantes :

•
Limitation de l'accès des utilisateurs au serveur. SQL Server 2005 offrira un contrôle accru des accès en permettant aux administrateurs d'utiliser les stratégies à cette fin.
•
Désactivation des services et limitation de la configuration des services. Les administrateurs auront la possibilité de restreindre l'accès à certaines ressources dans SQL Server. Ils pourront choisir l'étendue de la restriction et la définir très précisément. Les administrateurs disposeront également d'un système administrable sans abuser de privilèges élevés. En désactivant par défaut certains services pour les nouvelles installations serveur, les administrateurs seront impliqués plus activement dans le choix des services supplémentaires spécifiques à activer.
•
Réduction de la zone exposée aux attaques pour les nouvelles fonctionnalités. Dès l'installation et la configuration de SQL Server, la zone exposée aux attaques sera minimisée. Pendant l'intégralité du cycle de développement du produit, de nouvelles fonctionnalités ont été passées en revue et testées de manière à réduire la zone exposée aux attaques.

Pour plus d'informations

Les fonctionnalités de sécurité en un coup d'oeil

Haut de page

•	Réduire les problèmes de sécurité potentiels en s'attachant particulièrement aux étapes de conception et de test d'un produit.
•	Limiter les zones d'attaque potentielles en désactivant les fonctions qui ne sont pas nécessaires. S'assurer également qu'à l'installation, le produit choisisse les valeurs de configuration appropriées pour toutes les options, de sorte que l'installation d'un système soit sécurisée d'emblée.
•	Créer une documentation et communiquer régulièrement les dernières informations de sécurité aux clients pour les aider à maintenir la sécurité et l'intégrité de leur environnement SQL Server.

•	Sécurisation dès la conception. L'équipe de développement SQL Server a mené plusieurs audits de sécurité et passé plus de deux mois à étudier les composants SQL Server et les interactions entre ceux-ci. Pour chaque risque de sécurité, l'équipe a effectué une analyse de menace pour évaluer le problème et a mené à bien des travaux de conception et de test supplémentaires pour neutraliser tout problème de sécurité potentiel. Grâce à ces efforts supplémentaires lors de la conception, SQL Server 2005 inclura de nombreuses nouvelles fonctionnalités de sécurité.
•	Sécurisation par défaut. Lors de l'installation, SQL Server 2005 choisira les valeurs de configuration appropriées pour toutes les options d'installation, et vérifiera d'emblée la sécurisation d'un nouveau système lors de son installation.
•	Sécurisation lors du déploiement. Microsoft a créé une documentation permettant aux entreprises de déployer SQL Server en utilisant des informations d'identification de sécurité appropriées, et de comprendre pleinement les étapes et les autorisations requises. Les outils de déploiement SQL Server procurent les informations requises pour comprendre les décisions que vous devez prendre lors de la phase de déploiement. Par ailleurs, les mises à jour de sécurité sont faciles à trouver et à installer, et si vous choisissez l'option correspondante, les mises à jour s'installent automatiquement. Des outils sont également à votre disposition pour vous permettre d'évaluer et de gérer les risques de sécurité au sein des organisations.
•	Communications. Pour assurer la prise en charge continue d'un déploiement SQL Server, Microsoft fournit des communications liées aux problèmes de sécurité. La page Security Resources fait office de point central pour toutes les informations de sécurité liées à SQL Server, y compris les menaces de sécurité existantes et les correctifs et outils requis pour neutraliser ces menaces.

•	Limitation de l'accès des utilisateurs au serveur. SQL Server 2005 offrira un contrôle accru des accès en permettant aux administrateurs d'utiliser les stratégies à cette fin.
•	Désactivation des services et limitation de la configuration des services. Les administrateurs auront la possibilité de restreindre l'accès à certaines ressources dans SQL Server. Ils pourront choisir l'étendue de la restriction et la définir très précisément. Les administrateurs disposeront également d'un système administrable sans abuser de privilèges élevés. En désactivant par défaut certains services pour les nouvelles installations serveur, les administrateurs seront impliqués plus activement dans le choix des services supplémentaires spécifiques à activer.
•	Réduction de la zone exposée aux attaques pour les nouvelles fonctionnalités. Dès l'installation et la configuration de SQL Server, la zone exposée aux attaques sera minimisée. Pendant l'intégralité du cycle de développement du produit, de nouvelles fonctionnalités ont été passées en revue et testées de manière à réduire la zone exposée aux attaques.