Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
Este artigo se aplica a nuvens comerciais. Se você estiver usando nuvens do governo, consulte o artigo do governo de configuração do Defender para SQL on Machines .
Antes de iniciar as etapas de solução de problemas, você deve habilitar o Defender para SQL Server em Computadores no nível de recurso da assinatura ou do SQL.
Etapa 1: Recursos necessários e processo de habilitação
O Defender para SQL Server em Computadores cria automaticamente os seguintes recursos em seus computadores:
| Tipo de recurso | Nível Criado |
|---|---|
| Identidade Gerenciada do Sistema (criada somente se uma identidade gerenciada definida pelo usuário não existir) | Máquina virtual/servidor habilitado para Arc que hospeda a instância do SQL Server |
| Extensão do Defender para SQL | A extensão é instalada em cada servidor habilitado para máquina virtual/Arc que hospeda a instância do SQL Server |
Quando você habilita o Defender para SQL Server em uma assinatura ou no SQL Server especificado, ele executa as seguintes ações para proteger cada instância do SQL Server:
- Cria uma identidade gerenciada pelo sistema se não houver nenhuma identidade gerenciada pelo usuário na assinatura.
- Instala a extensão defender para SQL no servidor habilitado para máquina virtual/Arc que hospeda o SQL Server.
- Representa o usuário do Windows que executa o serviço SQL Server (função sysadmin padrão) para acessar a instância do SQL Server.
Etapa 2: Verifique se você cumpriu os pré-requisitos
Permissões de assinatura: para implantar o plano em uma assinatura, incluindo o Azure Policy, você precisa de permissões de Proprietário da Assinatura .
Permissões de instância do SQL Server: as contas de serviço do SQL Server devem ter a função de servidor fixa sysadmin em cada instância do SQL Server, que é a configuração padrão. Saiba mais sobre o requisito da conta de serviço do SQL Server.
Recursos com suporte:
- Há suporte para máquinas virtuais SQL e instâncias do SQL Server do Azure Arc.
- Os computadores locais devem ser integrados ao Arc e registrados como instâncias do SQL Server do Azure Arc.
Comunicação: permitir o tráfego HTTPS de saída pela porta TCP (Protocolo de Controle de Transmissão) 443 usando o TLS (Transport Layer Security) para URL *.<region>.arcdataservices.com . Saiba mais sobre os requisitos de URL.
Extensões: verifique se essas extensões não estão bloqueadas em seu ambiente. Saiba mais sobre como restringir a instalação de extensões em VMs do Windows.
-
Defender para SQL (IaaS e Arc)
- Editor: Microsoft.Azure.AzureDefenderForSQL
- Tipo: AdvancedThreatProtection.Windows
-
Extensão IaaS do SQL (IaaS)
- Editor: Microsoft.SqlServer.Management
- Tipo: SqlIaaSAgent
-
Extensão IaaS do SQL (Arc)
- Editor: Microsoft.AzureData
- Tipo: WindowsAgent.SqlServer
-
Defender para SQL (IaaS e Arc)
Versões do SQL Server com suporte – SQL Server 2012 R2 (11.x) e versões posteriores.
Sistemas operacionais com suporte– SQL Server 2012 R2 e versões posteriores.
Etapa 3: Identificar e resolver configurações incorretas de proteção no nível da instância do SQL Server
Siga o processo de verificação para identificar configurações incorretas de proteção em instâncias do SQL Server.
A recomendação The status of Microsoft SQL Servers on Machines should be protected pode ser usada para verificar o status de proteção dos SQL Servers, mas a recomendação deve ser corrigida no nível do recurso. Qualquer SQL Server desprotegido é identificado na seção de recursos não íntegros da recomendação com um status de proteção listado e um motivo.
Importante
A recomendação é atualizada apenas a cada 12 horas. Para verificar o status em tempo real do computador, você deve verificar o status de proteção de cada SQL Server e executar qualquer solução de problemas, se necessário.
Use o motivo não íntegro correspondente e as ações recomendadas para resolver a configuração incorreta:
| Motivo não íntegro | Ação recomendada |
|---|---|
| Identidade ausente | Atribua a identidade gerenciada definida pelo usuário/definida pelo sistema ao servidor habilitado para máquina virtual/Arc que hospeda a instância do SQL Server. Nenhuma permissão de controle de acesso baseada em função é necessária. |
| A extensão do Defender para SQL não existe | Verifique se a extensão do Defender para SQL não está bloqueada pelas políticas de negação do Azure: – Publicador: Microsoft.Azure.AzureDefenderForSQL - Tipo: AdvancedThreatProtection.Windows Instale manualmente a extensão do Defender para SQL na máquina virtual hospedando a instância do SQL Server usando o script fornecido. Verifique se você tem a versão 2.X ou superior. 1. Executar este script Set-AzVMExtension -Publisher 'Microsoft.Azure.AzureDefenderForSQL' -ExtensionType 'AdvancedThreatProtection.Windows' -ResourceGroupName 'resourceGroupeName' -VMName <Vm name> -Name 'Microsoft.Azure.AzureDefenderForSQL.AdvancedThreatProtection.Windows' -TypeHandlerVersion '2.0' -Location 'vmLocation' -EnableAutomaticUpgrade $true 2. Execute este script para definir o contexto da assinatura certa: connect-AzAccount -Subscription SubscriptionId -UseDeviceAuthentication |
| A extensão do Defender para SQL deve ser up-to-date | Atualize a extensão na página Extensões no recurso de servidor habilitado para máquina virtual/Arc. |
| Erro durante a instalação da extensão do Defender para SQL | Verifique o status da extensão do Defender para SQL no portal para obter informações adicionais para solucionar o problema. |
| A instância do SQL Server está inativa | O Defender para SQL Server em Computadores só pode proteger instâncias ativas (em execução) do SQL Server. |
| Falta de permissões | Verifique se a conta de serviço do SQL Server é um membro da função de servidor fixa sysadmin em cada instância do SQL Server (configuração padrão). Saiba mais sobre as permissões de serviço do SQL Server. |
| Falta de comunicação | Verifique se o tráfego HTTPS de saída na porta TCP 443 usando o TLS (Transport Layer Security) é permitido do servidor habilitado para máquina virtual/Arc para a *.<region>.arcdataservices.com URL. Saiba mais sobre os requisitos de URL |
| A reinicialização do SQL Server é necessária | Reinicie a instância do SQL Server para que a instalação do Defender para SQL Server entre em vigor. |
| Erro interno | Contate a equipe de atendimento ao cliente. |
Várias instâncias do SQL Server na mesma máquina virtual
Se você tiver várias instâncias do SQL Server instaladas na mesma máquina virtual, a recomendação The status of Microsoft SQL Servers on Machines should be protected não poderá diferenciar entre instâncias. Para correlacionar a mensagem de erro com a instância correspondente do SQL Server, verifique a mensagem de erro na extensão do Defender para SQL. A extensão do Defender para SQL pode exibir os seguintes motivos para cada instância:
- Reiniciar o SQL Server
- Verificar permissões
- Verifique se a instância do SQL Server está ativa
No portal do Azure, pesquise e selecione a máquina virtual SQL.
Selecione a máquina virtual relevante.
Navegue até Extensões de Configurações>+ aplicativos.
Selecione a extensão relevante para exibir seu status de proteção.
Com base no motivo não íntegro listado, execute a ação apropriada para corrigir o problema.
Etapa 4: Revertifique o status da proteção
Depois de concluir a correção de todos os erros para cada instância do SQL Server, desvaneie o status de proteção de cada instância do SQL Server.