Hardening op SQL Server is niet één instelling, maar tachtig configuratie-items die gezamenlijk een verdedigbare baseline vormen. Een freelance MSSQL DBA gebruikt CIS Benchmark als ankerpunt en past per organisatie aan op risico-appetite.
Wat de CIS Benchmark dekt
Network configuration, authentication, password policy, surface area reduction (xp_cmdshell uit, OLE Automation uit), audit logging, encryption, backup security. Voor SQL Server 2019/2022 is de CIS Benchmark in 2025 herzien naar versie 1.4. Wij volgen die versie.
Scripted enforcement met DSC of dbatools
Hardening met klikken is brittle. We werken met PowerShell DSC of het dbatools-module van Chrissy LeMaire. Een script dat baseline checkt en afwijkingen rapporteert (of corrigeert) draait elke nacht. Drift wordt zichtbaar voordat het audit-issues wordt.
Surface area: wat uitzetten
xp_cmdshell, OLE Automation Procedures, Database Mail (als niet gebruikt), CLR Integration (als niet gebruikt), Cross DB Ownership Chaining, Ad Hoc Distributed Queries. Standaard uit op productie. Per uitzondering expliciet aanzetten en documenteren.
TLS, SChannel en cipher suites
TLS 1.0 en 1.1 uit op de Windows-host. Force Encryption op de SQL Server-listener. Cipher suites alleen die door BSI of NCSC nog goedgekeurd zijn. Een SChannel-misconfiguratie is een veelvoorkomende audit-finding.
Drift detection en periodieke revalidatie
Hardening verloopt: een DBA zet xp_cmdshell aan voor een batch-job, vergeet hem terug te zetten. Een nieuwe instance wordt zonder baseline gedeployed. Continuous compliance monitoring met dbatools of een vendor-tool (Quest, Idera) maakt drift zichtbaar.
Verwant: Freelance SQL DBA inhuren, SQL Server security audit.