Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Dieser Artikel bezieht sich auf kommerzielle Clouds. Wenn Sie Government-Clouds verwenden, lesen Sie den Artikel "Problembehandlung von Defender für SQL auf Computerkonfiguration– Behörden" .
Bevor Sie die Schritte zur Problembehandlung starten, müssen Sie Defender für SQL Server auf Computer auf Abonnement- oder SQL-Ressourcenebene aktivieren.
Schritt 1: Erforderliche Ressourcen und Aktivierungsprozess
Defender für SQL Server auf Computern erstellt automatisch die folgenden Ressourcen auf Ihren Computern:
| Ressourcentyp | Ebene erstellt |
|---|---|
| Vom System verwaltete Identität (nur erstellt, wenn keine benutzerdefinierte verwaltete Identität vorhanden ist) | Virtueller Computer/Arc-fähiger Server, der die SQL Server-Instanz hosten |
| Defender für SQL-Erweiterung | Die Erweiterung wird auf jedem virtuellen Computer/Arc-fähigen Server installiert, auf dem die SQL Server-Instanz gehostet wird. |
Wenn Sie Defender für SQL Server für ein Abonnement oder einen angegebenen SQL Server aktivieren, werden die folgenden Aktionen ausgeführt, um jede SQL Server-Instanz zu schützen:
- Erstellt eine vom System verwaltete Identität, wenn im Abonnement keine vom Benutzer verwaltete Identität vorhanden ist.
- Installiert die Defender for SQL-Erweiterung auf dem virtuellen Computer/Arc-fähigen Server, auf dem sql Server gehostet wird.
- Imitiert den Windows-Benutzer, der den SQL Server-Dienst ausführt (Standard sysadmin-Rolle), um auf die SQL Server-Instanz zuzugreifen.
Schritt 2: Sicherstellen, dass Sie die Voraussetzungen erfüllt haben
Abonnementberechtigungen: Um den Plan für ein Abonnement bereitzustellen, einschließlich Azure-Richtlinie, benötigen Sie Abonnementbesitzerberechtigungen .
SQL Server-Instanzberechtigungen: SQL Server-Dienstkonten müssen die Feste Serverrolle "sysadmin " in jeder SQL Server-Instanz haben, die die Standardeinstellung ist. Erfahren Sie mehr über die SQL Server-Dienstkontoanforderung.
Unterstützte Ressourcen:
- Virtuelle SQL-Computer und Azure Arc SQL Server-Instanzen werden unterstützt.
- Lokale Computer müssen in Arc integriert und als Azure Arc SQL Server-Instanzen registriert werden.
Kommunikation: Ausgehenden HTTPS-Datenverkehr über TCP-Port 443 (Transmission Control Protocol) mithilfe von TLS (Transport Layer Security) zu *.<region>.arcdataservices.com URL zulassen. Weitere Informationen zu URL-Anforderungen.
Erweiterungen: Stellen Sie sicher, dass diese Erweiterungen in Ihrer Umgebung nicht blockiert werden. Erfahren Sie mehr über das Einschränken der Installation von Erweiterungen auf Windows-VMs.
-
Defender für SQL (IaaS und Arc)
- Herausgeber: Microsoft.Azure.AzureDefenderForSQL
- Typ: AdvancedThreatProtection.Windows
-
SQL IaaS-Erweiterung (IaaS)
- Herausgeber: Microsoft.SqlServer.Management
- Typ: SqlIaaSAgent
-
SQL IaaS-Erweiterung (Arc)
- Herausgeber: Microsoft.AzureData
- Typ: WindowsAgent.SqlServer
-
Defender für SQL (IaaS und Arc)
Unterstützte SQL Server-Versionen – SQL Server 2012 R2 (11.x) und höhere Versionen.
Unterstützte Betriebssysteme– SQL Server 2012 R2 und höhere Versionen.
Schritt 3: Identifizieren und Beheben von Schutzfehlern auf SQL Server-Instanzebene
Folgen Sie dem Überprüfungsprozess , um Schutzfehler in SQL Server-Instanzen zu identifizieren.
Die Empfehlung The status of Microsoft SQL Servers on Machines should be protected kann verwendet werden, um den Schutzstatus von SQL Server zu überprüfen, die Empfehlung sollte jedoch auf Ressourcenebene behoben werden. Jeder SQL-Server, der nicht geschützt ist, wird im Abschnitt "Fehlerhafte Ressource" der Empfehlung mit einem aufgelisteten Schutzstatus und einem Grund identifiziert.
Von Bedeutung
Die Empfehlung wird nur alle 12 Stunden aktualisiert. Um den Echtzeitstatus Ihres Computers zu überprüfen, müssen Sie den Schutzstatus jedes SQL-Servers überprüfen und ggf. eine Problembehandlung durchführen.
Verwenden Sie den entsprechenden fehlerhaften Grund und empfohlene Aktionen, um die Fehlkonfiguration zu beheben:
| Ungesunder Grund | Empfohlene Aktion |
|---|---|
| Fehlende Identität | Weisen Sie dem virtuellen Computer/Arc-fähigen Server, auf dem die SQL Server-Instanz gehostet wird, eine benutzerdefinierte/systemdefinierte verwaltete Identität zu. Es sind keine rollenbasierten Zugriffssteuerungsberechtigungen erforderlich. |
| Defender für SQL-Erweiterung ist nicht vorhanden. | Stellen Sie sicher, dass die Defender für SQL-Erweiterung nicht durch Azure-Richtlinien blockiert wird: - Publisher: Microsoft.Azure.AzureDefenderForSQL - Typ: AdvancedThreatProtection.Windows Installieren Sie die Defender for SQL-Erweiterung manuell auf dem virtuellen Computer, indem Sie die SQL Server-Instanz mithilfe des bereitgestellten Skripts hosten. Stellen Sie sicher, dass Sie über Version 2.X oder höher verfügen. 1. Ausführen dieses Skripts Set-AzVMExtension -Publisher 'Microsoft.Azure.AzureDefenderForSQL' -ExtensionType 'AdvancedThreatProtection.Windows' -ResourceGroupName 'resourceGroupeName' -VMName <Vm name> -Name 'Microsoft.Azure.AzureDefenderForSQL.AdvancedThreatProtection.Windows' -TypeHandlerVersion '2.0' -Location 'vmLocation' -EnableAutomaticUpgrade $true 2. Führen Sie dieses Skript aus, um den Kontext des richtigen Abonnements festzulegen: connect-AzAccount -Subscription SubscriptionId -UseDeviceAuthentication |
| Defender für SQL-Erweiterung sollte up-to-date sein | Aktualisieren Sie die Erweiterung auf der Seite "Erweiterungen" in der Ressource für virtuelle Computer/Arc-fähige Server. |
| Fehler bei der Installation der Defender für SQL-Erweiterung | Überprüfen Sie den Defender für SQL-Erweiterungsstatus im Portal, um weitere Informationen zur Problembehandlung zu finden. |
| SQL Server-Instanz ist inaktiv | Defender für SQL Server auf Computern kann nur aktive (ausgeführte) SQL Server-Instanzen schützen. |
| Fehlende Berechtigungen | Stellen Sie sicher, dass das SQL Server-Dienstkonto ein Mitglied der festen Serverrolle "sysadmin" in jeder SQL Server-Instanz ist (Standardeinstellung). Weitere Informationen zu SQL Server-Dienstberechtigungen. |
| Mangelnde Kommunikation | Stellen Sie sicher, dass ausgehender HTTPS-Datenverkehr am TCP-Port 443 mithilfe von TLS (Transport Layer Security) vom virtuellen Computer/Arc-fähigen Server zur *.<region>.arcdataservices.com URL zugelassen ist. Weitere Informationen zu URL-Anforderungen |
| SQL Server-Neustart ist erforderlich | Starten Sie die SQL Server-Instanz neu, damit die Installation von Defender für SQL Server wirksam wird. |
| Interner Fehler | Wenden Sie sich an den Support. |
Mehrere SQL Server-Instanzen auf demselben virtuellen Computer
Wenn mehrere SQL Server-Instanzen auf demselben virtuellen Computer installiert sind, kann die Empfehlung The status of Microsoft SQL Servers on Machines should be protected nicht zwischen Instanzen unterscheiden. Um die Fehlermeldung mit der entsprechenden SQL Server-Instanz zu korrelieren, überprüfen Sie die Fehlermeldung unter der Defender für SQL-Erweiterung. Die Defender für SQL-Erweiterung kann die folgenden Gründe für jede Instanz anzeigen:
- Starten Sie den SQL Server neu
- Berechtigungen überprüfen
- Sicherstellen, dass die SQL Server-Instanz aktiv ist
Suchen Sie im Azure-Portal nach einem virtuellen SQL-Computer, und wählen Sie sie aus.
Wählen Sie den entsprechenden virtuellen Computer aus.
Navigieren Sie zu "Einstellungenerweiterungen>+ Anwendungen".
Wählen Sie die relevante Erweiterung aus, um den Schutzstatus anzuzeigen.
Führen Sie basierend auf dem aufgelisteten fehlerhaften Grund die entsprechenden Maßnahmen aus, um das Problem zu beheben.
Schritt 4: Wiederverifizieren des Schutzstatus
Nach Abschluss der Behebung aller Fehler für jede SQL Server-Instanz müssen Sie den Schutzstatus jeder SQL Server-Instanz wiederverifizieren.