دوره [۰۰۷] امنیت در SQL Server

(دیدگاه کاربر 7)

۵۹۰,۰۰۰ تومان

مخاطب: برنامه نویسان و مدیران بانک اطلاعاتی
طول دوره: 10 جلسه 3 ساعته جمعا به مدت 30 ساعت + 300 دقیقه تمرین کلاسی اضافی
موضوع دوره: ایجاد امنیت فوق حرفه‌ای در بانک اطلاعاتی و SQL Server
نحوه ثبت نام: غیرحضوری
محتوا: 30 ساعت آموزش تصویری +300 دقیقه تمرین اضافی کلاسی
مدرس: مسعود طاهری
مبلغ سرمایه گذاری غیرحضوری: 590 هزار تومان
نحوه دسترسی: ارسال پستی رایگان
پشتیبانی تلگرامی: دارد (در یک گروه اختصاصی عضو خواهید شد)

توضیحات

این دوره در حال حاضر فقط بصورت غیرحضوری ارائه می گردد.

 

 

 

 

 

 

 

 

 

برنامه نویس هستید؟ مدیر بانک اطلاعاتی هستید؟ اگر می‌خواهید با مباحث امنیت در SQL Server بصورت حرفه‌ای کار کنید، این دوره مناسب شما است.

 

 

آیا می‌دانید در بیشتر سازمان‌ها و شرکت‌ها، امنیت یکی از چالش های اصلی آن سازمان است.

در این دوره شما از ابتدا و بصورت گام به گام با مباحث امنیتی در SQL Server کار خواهید کرد و این آموزش‌ها بصورت کاملا کاربردی و حرفه‌ای خواهد بود.

 

 

 

 

 

 

معرفی دوره امنیت در SQL Server 2016 را بشنوید و یا دانلود کنید.

 

 

 

 

 

 

 

 

 

 

 

تخصص هاي لازم براي شرکت در اين دوره

اگر با SQL Server در حد نوشتن دستورات T-SQL مانند Insert | Update | Delete و آشنایی با مباحث اولیه مانند بکاپ گرفتن و… کار کرده ابد می توانید در این دوره شرکت کنید.

 

 

 

 

 

 

 

01-Security-training-course-SQL-Server

 

 

مخاطب: برنامه نویسان و مدیران بانک اطلاعاتی
طول دوره: ۱۰ جلسه ۳ ساعته جمعا به مدت ۳۰ ساعت + ۳۰۰ دقیقه تمرین کلاسی اضافی
موضوع دوره: ایجاد امنیت فوق حرفه‌ای در بانک اطلاعاتی و SQL Server
نحوه ثبت نام: غیرحضوری
محتوا: ۳۰ ساعت آموزش تصویری +۳۰۰ دقیقه تمرین اضافی کلاسی
مدرس: مسعود طاهری
مبلغ سرمایه گذاری غیرحضوری: ۵۹۰ هزار تومان
نحوه ارسال: با پیک موتوری رایگان یا پست سفارشی رایگان
پشتیبانی تلگرامی: دارد (در یک گروه اختصاصی عضو خواهید شد)

 

 

 

 

 

02-Security-training-course-SQL-Server

 

masoud-taheri

 

 

مسعود طاهری کیست؟

کارشناس ارشد تحلیل و طراحی شرکت تجارت الکترونیک پارسیان (PECco).
مدرس دوره ۱۵ جلسه ای آموزش Performance & Tuning در SQL Server
مدرس دوره ۱۵ جلسه ای دوره SQL Server ویژه برنامه نویسان
سخنران همایش معرفی قابلیت های جدید SQL Server 2016
مشاور SQL Server در شرکت مهندسی رایورز.
مشاور SQL Server در سازمان کشتیرانی کل کشور
برگزاری دوره SQL Server 2008 به عنوان مدرس برای سازمان بورس و اوراق بهادار تهران.
برگزاری دوره به روز رسانی به SQL Server 2014 در سازمان کشتیرانی کل کشور
برگزاری دوره به روز رسانی به SQL Server 2014 در سازمان زندان‌های کل کشور
برگزاری دوره SQL Server 2012 برای تیم DataCenter شرکت ParsOnline (پارس آنلاین).
برگزاری دوره SQL Server 2012 Performance & Tuning برای شرکت مهندسی رایورز.
برگزاری دوره High Availability with SQL Server 2008 برای تیم فنی شرکت پخش البرز.
برنامه نویس و مدیر بانک اطلاعاتی شرکت ایده گستر (پیشرو در سیستم‌های شهرداری و شهرسازی) به مدت ۶ سال.
متخصص، مدرس و مشاور SQL Server و مباحث فوق پیشرفته بانک اطلاعاتی.

 

 

 

 

 

 

 

 

03-Security-training-course-SQL-Server

 

 

مقدمه ای بر امنیت در SQL Server 2016
۱- بررسی مفاهیم اولیه
۲- بررسی اهداف پیاده‌سازی امنیت
۳- بررسی مفهوم اولیه Login و User
۴- بررسی چند سناریو کاربردی
۵- بررسی مفهوم Authentication و Authorization در SQL Server
۶- بررسی انواع Authentication در SQL Server

 

 

 

 

 

امن کردن سرویس‌های ۲۰۱۶ SQL Server

 

پس از نصب SQL Server برنامه‌ای به نام SQL Server Configuration Manager به همراه آن نصب می‌شود. وظیفه این برنامه مدیریت پیشرفته سرویس‌های SQL Server می‌باشد. یکی از قسمت‌هایی که در حوزه امنیت SQL Server برای خیلی از دوستان ناشناخته است تنظیمات مربوط به سرویس‌های SQL Server است. برای مثال شما می‌توانید با استفاده از پرتوکل SSL داده‌های که در شبکه ارسال و دریافت می‌شود را به صورت Encrypt شده ارسال نمایید و یا می‌توانید کاری کنید که سرویس‌های SQL Server حداقل دسترسی به منابع محتلف (مانند سیستم عامل و…) داشته باشند.

۱- معرفی سرویس‌های SQL Server و کاربرد هر کدام از آنها
۲- بررسی نحوه تنظیم Accountهای راه‌انداز بر سرویس‌های SQL Server
۳- بررسی Permissionهای لازم برای Start کردن سرویس‌ها با اکانت‌های Limit
۴- بررسی MSA Accountها و نحوه Start کردن سرویس‌ها با استفاده از آن
۵- مدیریت سرویس‌های SQL Server با استفاده از Service Manager
۶- مدیریت سرویس‌های SQL Server با استفاده از SQL Server Configuration Manager
۷- بررسی تاثیر غیر فعال بودن سرویس‌های SQL Server در امنیت سرور
۸- بررسی مفهوم TCP Port و اعمال تنظیمات مربوط به آن در SQL Server
۹- بررسی پورت‌های استاندارد SQL Server
۱۰- بررسی نحوه تنظیم Firewall ویندوز برای SQL Server
۱۱- بررسی پروتکل SSL
۱۲- انجام تنظیمات مربوط به SSL برای SQL Server
۱۳- بررسی پروتکل TLS
۱۴- انجام تنظیمات مربوط به TLS برای SQL Server
۱۵- بررسی پروتکل Kerberos
۱۶- انجام تنظیمات مربوط به Kerberos برای SQL Server
۱۷- بررسی Extended Protection و انجام تنظیمات آن در SQL Server جهت جلوگیری از luring attack , spoofing attack)
۱۸- بررسی نحوه مخفی کردن Instanceهای SQL Server
۱۹- بررسی مفهوم Endpoint و تنظیمات امنیتی مربوط به آن
۲۰- بررسی نحوه مدیریت Service SID در SQL Server
۲۱- بررسی Permissionهای File System برای کار با فایل‌های بانک اطلاعاتی

 

 

 

 

 

بررسی Agent در SQL Server و امن کردن آن

Alert یکی از قابلیت‌های جالب SQL Server است که وظیفه آن اعلان هشدار و… هنگام وقوع یک رخداد خاص می‌باشد. برای مثال فرض کنید می‌خواهیم کاری کنیم که اگر خطای Login Failed به ازای اکانت SA بوجود آید یک ایمیل به مدیر سیستم ارسال شود. انجام اینکار به راحتی با استفاده از Alert در SQL Server امکان پذیر می‌باشد.

 

۱- بررسی نحوه ایجاد JOB
۲- بررسی نحوه ایجاد Proxy و ارتباط آن با JOBها
۳- بررسی User برای اجرای JOBها

 

 

 

 

بررسی Authentication ، Authorization و Security در SQL Server

در یکی از شرکت‌هایی که به صورت مشاوره‌ای با آنها کار می‌کردم برنامه‌نویسان دنبال روشی بودند که بتوانند با آن جلوی دسترسی به بانک اطلاعاتی را با هر Applicationی به جزء برنامه نوشته شده توسط شرکت گرفته شود. برای مثال اگر کلاینتی با داشتن Login Name و Password با استفاده از Management Studio بخواهد به SQL Server متصل شود انجام اینکار امکان پذیر نباشد و صرفاً با برنامه حسابداری بتوان به بانک اطلاعاتی متصل شد.

روشی که برای انجام اینکار پیشنهاد کردم استفاده از Application Role بود.

 

۱- بررسی مفهوم Principal
۲- بررسی سطوح Principle در سطح ویندوز و SQL Server و Database
۳- بررسی مفهوم Securable
۴- بررسی مفهوم Permission و نحوه اعمال سطح دسترسی به اشیاء مختلف در SQL Server
۵- بررسی ساختار امنیتی SQL Server
۶- بررسی Fixed Database Roles
۷- بررسی انواع مجوز‌ها
۸- بررسی نحوه اعطای مجوز به کاربران
۹- بررسی نحوه گرفتن مجوز از کاربران
۱۰- بررسی دستورات Grant، Revoke، Deny
۱۱- بررسی مفهوم Schema
۱۲- بررسی Fixed Server Roles
۱۳- بررسی Database Application Roles و نحوه استفاده از آن در برنامه‌های کاربردی
۱۴- بررسی نحوه تعریف Roleها به صورت سفارشی
۱۵- بررسی Ownership Chains
۱۶- بررسی مفهوم Impersonation و نحوه پیاده‌سازی آن در SQL Server
۱۷- بررسی Map شدن بین لاگین‌ها و Userها پس از Restore بانک اطلاعاتی
۱۸- بررسی نحوه انتقال لاگین‌های یک سرور به یک سرور دیگر
۱۹- بررسی مفهوم SID و نکات مربوط به آن
۲۰- بررسی مفهوم Brute-Force Attack و ارائه راه‌حل برای آن
۲۱- بررسی غیر فعال کردن SA در SQL Server
۲۲- بررسی مباحث مربوط به Cross Database Security
۲۳- بررسی توابع ، DMF، DMV وSPهای مربوط به این حوزه

 

 

 

 

 

بررسی قابلیت‌‌های جدید امنیت در SQL Server 2016

اهمیت داده‌های حساس در سازمان‌ها برای همه روشن است. مخصوصاً زمانی که در بانک اطلاعاتی شما رکوردهایی وجود داشته باشد که نمایش آنها برای همه ممکن نباشد. اگر بخواهیم چنین سناریوی را پیاده‌سازی کنیم قطعا مجبور هستیم همیشه دسترسی رکورد مورد نظر را برای همه کاربران (Business User) چک کنیم. با هر روشی که فکر می‌کنید و این موضوع یعنی تغییرات گسترده سمت Application و Database

 

اما حالا در SQL Server 2016 شما می‌توانید با استفاده از Row Level Security با انجام حداقل تغییرات سمت بانک Application و Database اینکار را به راحتی آب خوردن انجام دهید.

 

۱- بررسی نحوه استفاده از Always-Encrypt در SQL Server 2016 و سایر نسخه‌ها
۲- نحوه استفاده از Dynamic Data Masking در SQL Server 2016 و سایر نسخه‌ها
۳- بررسی نحوه پیاده‌سازی Row Level Security در SQL Server 2016 و سایر نسخه‌ها
۴- پیاده‌سازی Application در .NET برای استفاده از قابلیت‌های جدید امنیتی SQL Server 2016

 

 

 

 

بررسی Contained Database

در برخی از مواقع لازم است که ما بانک اطلاعاتی برنامه‌ای کاربردی را به یک سرور دیگر منتقل کنیم اما در این حالت Objectهای Server Side مانند Loginها به سرور دیگر منتقل نمی‌شوند چون Login در بانک اطلاعاتی Master ذخیره می‌شود. برای انجام اینکار می‌توانید از قابلیت Contained Database در SQL Server استفاده کنید. در این حالت نقل و انتقال بانک اطلاعاتی از یک سرور به سروری دیگر به راحتی آب خوردن می‌باشد.

 

۱- بررسی تنظیمات مربوط به contained database authentication
۲- بررسی تنظیمات Containment Type در Database
۳- بررسی نحوه ایجاد SQL User با Password
۴- بررسی نحوه اتصال به پایگاه داده‌ای که قابلیت Contained Database را پشتیبانی می‌کند
۵- بررسی DMV و DMFهای وابسته به مبحثContained Database

 

 

 

 

بررسی OpenRowSet و XP_CmdShell

یکی از قابلیت‌های خطرناکی که ممکن است در برخی از سرورهای SQL Server فعال باشد قابلیت اجرای پروسیجر XP_CmdShell می‌باشد. بوسیله این دستور شما می‌توانید Commandهای سیتم‌ عامل را بر روی سرور اجرا نمایید. حالا شما سروری را در نظر بگیرید که از این قابلیت استفاده می‌کند و قرار است شما به عنوان مسئول امنیت به دنبال ارائه راه‌کار مناسب برای آن باشید.

 

۱- آشنایی با مفهوم Distributed Query و نحوه پیاده‌سازی آن در SQL Server
۲- پیکربندی SQL Server جهت اجرای OS Command
۳- بررسی ریسک‌های فعال بودن قابلیت اجرای OS Commands بر روی SQL Server

 

 

 

 

بررسی SQL Injection

هنور که هنوز است SQL Injection یکی از بیشترین روش‌های هک کردن بانک‌های اطلاعاتی می‌باشد. یادم است چند سال پیش یکی از دوستان یک Windows App برای سازمانی ایجاد کرده بود به خاطر اینکه ضعف امنیتی مربوط به Application را به او گوشزد کنم به راحتی آب خوردن با استفاده از SQL Injection توانستم دسترسی Remote بگیرم. توجه داشته باشید دسترسی Remote به سرور.

 

علت این موضوع:
– آسیب پذیر بودن برنامه در مقابل حملات SQL Injection و عدم داشتن استراتژی مناسب برای آن
– دسترسی Application به بانک اطلاعاتی با استفاده از SA
– اجرای سرویس SQL Server با دسترسی بالا

 

۱- SQL Injection چیست
۲- بررسی نحوه Inject کردن دستورات TSQL به یک Application نمونه
۳- بررسی نحوه جلوگیری از SQL Injection (ORM, Dynamic SQL ,…)
۴- بررسی نحوه ایجاد یک تابع در SQL Server برای کنترل عبارت‌های TSQL
۵- معرفی Database Firewallهای سخت‌افزاری و ماژول‌های به جلوگیری از SQL Injection

 

 

 

 

Linked Server و امن کردن آن

در سازمان‌هایی که با آنها کار کرده‌ام برخی از Applicationها از Linked Server برای ارتباط مابین سرورهای خود استفاده می‌کنند. زمانی که به تنظیمات امنیتی مربوط به Linked Server مراجعه می‌کنم با کمال تعجب مشاهده می‌کنم که کلیه کارها با دسترسی Full Access به سرور مقصد انجام می‌شود و هیچ کنترلی بر روی آن وجود ندارد.

 

زمانی که دلیل این موضوع را جویا می‌شوم با کمال تعجب این جواب را می‌شنویم برای راحتی کار و همچنین نیاز برنامه، در صورتیکه که اگر بررسی دقیق انجام دهید متوجه می‌شوید که برنامه اصلاً نیاز به چنین دسترسی سمت Linked Server نداشته و با دسترسی محدود می‌توان کار را انجام داد.

 

۱- Linked Server چیست؟
۲- بررسی نحوه ایجاد Linked Server در SQL Server
۳- بررسی نحوه امن کردن Linked Server
۴- بررسی نحوه پیاده‌سازی Impersonation در Linked Server

۵- بررسی نحوه استفاده از Synonym هنگام استفاده از Linked Server

 

 

 

 

بررسی امنیت CLR در SQL Server

استفاده از اشیاء CLR مانند پروسیجر، توابع، تریگر و… در بانک‌های اطلاعاتی جدید میان توسعه گران باب شده است. زمانی که شما از CLR استفاده می‌کنید می‌توان سطوح امنیتی مربوط به آن را هنگام Register کردن اسمبلی‌ها در SQL Server مشخص کنید.

 

این تنظیم توسط خیلی از دوستان نادیده گرفته شده و در برخی از موارد برای راحتی کار و جلوگیری از خطا و… عموماً به صورت Unsafe در نظر گرفته می‌شود که این موضوع می‌تواند باعث بوجود آمدن مشکلات امنیتی در شرایطی خاص شود.

 

۱- CLR چیست
۲- بررسی انواع CLR Objectهای قابل استفاده برای SQL Server
۳- نحوه ایجاد Functionهای CLR و Register کردن آنها در .NET
۴- بررسی سطوح امنیتی هنگام کار با CLR در SQL Server

 

 

 

 

 

رمزگذاری داده‌ها در SQL Server

چند سال پیش در یکی از سازمان‌های دولتی به صورت مشاوره‌ای درگیر پروژه‌ای بودم یکی از جداول بانک اطلاعاتی داده‌های بسیار حساسی داشت برنامه‌نویسان این سازمان دنبال روشی بودن که بتواند از داده‌های این جدول محافظت کنند به طوریکه اگر بیتی از اطلاعات این جدول توسط شخص یا برنامه دیگری به جزء برنامه اصلی تغییر پیدا کرد رکورد مورد نظر اعتبار نداشته باشد. روشی که برای این منظور ما استفاده کردیم محافظت داده‌ها توسط Certificate یا امضاء دیجیتالی در SQL Server بود.

 

۱- بررسی دلایل Encrypt و Decrypt کردن داده‌ها در SQL Server
۲- بررسی مفهوم Hash و پیاده‌سازی آن در SQL Server
۳- مقایسه نتیجه الگوریتم‌های Hash مربوط به SQL Server و .NET
۴- بررسی Service Master Key
۵- بررسی Database Master key
۶- بررسی Symmetric Key و نحوه استفاده از آن برای Encrypt کردن Data
۷- بررسی Asymmetric Key و نحوه استفاده از آن برای Encrypt کردن Data
۸- بررسی مفهوم Certificate و رمزگذاری دیتا با استفاده از Certificate
۹- بررسی Sign کردن Data
۱۰- Authenticating stored procedure by signature
۱۱- بررسی Extensible Key Management
۱۲- بررسی توابع ، DMF، DMV وSPهای مربوط به این حوزه

۱۳- محافظت از داده ها توسط امضای دیجیتال

 

 

 

بررسی TDE

یکی از شرکت‌های خصوصی که با آن کار می‌کردم به دنبال روشی برای جلوگیری از سرقت فایل‌های فیزیکی بانک اطلاعاتی بود. مسئاله از اینجا شروع شده بود که شرکت متوجه شده بود که نسخه‌ای از بانک اطلاعاتی مربوط به آن در سازمانی دیگر مورد استفاده قرار گرفته است.

 

پس از بررسی مشخص شد که ادمین سیستم با Stop کردن سرویس SQL Server و کپی کردن Data File و Log File بانک اطلاعاتی آن را به سازمان دیگر منتقل کرده و مورد استفاده قرار داده است. ما برای اینکه این فرآیند را مشکل کنیم (جلوی آن را بگیریم) از TDE استفاده کردیم.

 

۱- معرفی Transparent Database Encryption
۲- بررسی نحوه استفاده از TDE در SQL Server
۳- بررسی پیاده‌سازی اصولی TDE به ازای بانک‌هایی که از Memory Optimized Table استفاده می‌کنند.
۴- بررسی نحوه تهیه نسخه پشتیبان از کلیدهای مورد استفاده از جهت عملیات Encrypt و Decrypt
۵- بررسی مزایا و معایب استفاده از TDE
۶- بررسی تاثیر استفاده از TDE بر کارایی بانک اطلاعاتی
۷- بررسی تاثیر استفاده از TDE در Log File, Data File, Backup File

 

 

 

 

بررسی نحوه Encrypt کردن Backupها

آیا تا به حال برای شما پیش آمده است که Backup بانک‌های اطلاعاتی شما به سرقت رفته و در جاهای دیگر مورد استفاده قرار گیرد. برای اینکه جلوی قبلاً این کار را در SQL Server بگیریم مجبور بودیم

– از TDE استفاده کنیم
– از Appها سایر شرکت‌ها مانند Redgateو… استفاده کنیم
– و…

اما حالا در SQL Server 2014 امکانی وجود دارد که بتوان نسخه پشتیبان را Encrypt کرد به طوری که اگر Key و… در دسترس نباشد امکان Restore کردن آن وجود نداشته باشد.

 

۱- بررسی تنظیمات اولیه لازم برای Encrypt کردن نسخه پشتیبان
۲- بررسی الگوریتم‌های پشتیبانی شده برای Encryption نسخه پشتیبان
۳- بررسی نحوه تهیه نسخه پشتیبان به روش Encrypt
۴- بررسی نحوه Restore کردن نسخه پشتبیان Encrypt شده
۵- بررسی نحوه استفاده از Maintenance Plan برای تهیه نسخه پشتیبان به صورت Encrypt
۶- بررسی ابزارهای ثانویه برای Encrypt کردن نسخه پشتیبان

 

 

 

 

 

بررسی Triggerها

چند وقت پیش یکی از دوستانم تماس گرفته بود و خواستار ارائه راه‌حل برای تعدادی از سوالات خود بود. لیست زیر نمونه‌ای از سوالات مربوطه می‌باشد.

 

– می خواهم هر تغییری که بر روی ساختار جداول، ایندکس‌ها،SPها و… رخ می‌دهد در جایی Log شود. در ضمن در این Log گفته شود که کدام کلاینت این کار را انجام داده است.
– در بانک اطلاعاتی خودم جدولی دارم که لیستی از IPهایی که مجاز به دسترسی هستند را مشخص کرده‌ام می‌خواهم بدون داشتن فایروال کاری کنم که فقط این IPها قابلیت دسترسی به بانک اطلاعاتی را داشته باشند.

در پاسخ به این سوالات باید بگم که انجام تمام این کارها با استفاده از DDL Trigger و Logon Trigger انجام می‌باشد.

 

۱- بررسی مفهوم تریگر
۲- معرفی Logon Trigger و انجام تنظیمات مربوط به آن در SQL Server
۳- معرفی DDL Trigger و انجام تنظیمات مربوط به آن در SQL Server
۴- پیاده‌سازی سناریوی برای جمع‌آوری تغییرات مربوط به ساختار اشیاء (جداول، ایندکس، لاگین و…)

 

 

 

 

بررسی Auditing

این سوالی است که خیلی از دوستان از من می‌پرسند چگونه لیست دستورات TSQL یک Business User خاص را سمت SQL Server لاگ کنم توجه داشته باشید ملاک کاربر لاگ کردن کاربر و لاگین دیتابیسی نمی‌باشد بلکه Business User سمت Application می‌باشد.

 

برای انجام چنین کاری می‌توانید از امکانات موجود در بانک اطلاعاتی استفاده کنید بدون اینکه کارایی آن کاهش یابد این موضوع به شخصه توسط خودم بر روی سروری که Workload بالایی داشته تست و استفاده عملیاتی شده است.

 

۱- بررسی سناریوی برای جمع‌آوری کلیه دستورات ارسال شده توسط یک Business User به SQL Server
۲- بررسی Extended Event و نحوه جمع‌آوری Log برخی از دستورات ارسالی به SQL Server
۳- بررسی Profiler جهت جمع‌آوری Log برخی از دستورات ارسالی به SQL Server
۴- بررسی نحوه استفاده از دستور Sp_ProcOption هنگام کار با Profiler
۵- بررسی Login Audit
۶- بررسی C2 Audit
۷- بررسی و پیکربندی Server Audit Specification
۸- بررسی و پیکربندی Database Audit Specification
۹- معرفی User Defined Audit و نحوه استفاده Applicationها از آن
۱۰- بررسی DMV و DMFهای وابسته به مبحث Audit در SQL Server

 

 

 

 

 

بررسی Policy Base Management

می‌خواهم کاری در SQL Server یک چک لیست امنیتی ایجاد کنم و تمامی اشیاء موجود در بانک اطلاعاتی را با استفاده از آن مورد ارزیابی قرار هم به طوری که هر کدام از آن چنانچه با سیاست‌های تعریف شده مغایرت داشته باشد به من گزارش داده شود. انجام این در SQL Server با استفاده از PBM امکان پذیر می‌باشد.

 

۱- PBM چیست؟
۲- بررسی مفهوم Facet
۳- بررسی نحوه نوشتن Expression و Condition برای Facet
۴- بررسی مفهوم Policy و اهداف آن در SQL Server
۵- بررسی نحوه ایجاد کردن Policy
۶- بررسی Policy Category و نحوه ایجاد آن
۷- بررسی نحوه Evaluate کردن یک Policy

 

 

 

 

 

 

 

بررسی Resource Governor در SQL Server

در یکی از سازمان‌های دولتی که مشغول به کار بودم مشکلی وجود داشت یک کوئری در طی چند ساعت بیش از ۵ میلیون بار اجرا شده بود با بررسی که انجام شد متوجه شدم که کوئری مورد نظر توسط یک وب سرویس که برای Appهای بیرون از سازمان بود نوشته شده است.

 

این کوئری به ظاهر یک کوئری ساده بود که با حداقل IO دیتا را در دسترس کاربران قرار می‌داد اما فراخوانی بیش از حد آن باعث مشغول بودن CPU شده به طوریکه که خیلی‌ها فکر می‌کردند سرور مورد Attack قرار گرفته است. برای اینکه بتوانیم کنترلی بر روی دسترسی منابع به سرور داشته باشیم با استفاده از Resource Governor این محدودیت را به وجود آوردیم.

 

۱- Resource Governor چیست؟
۲- بررسی نحوه محدود کردن استفاده از Processor برای کاربران
۳- بررسی نحوه محدود کردن استفاده از Memory برای کاربران
۴- بررسی نحوه محدود کردن استفاده از IO برای کاربران
۵- معرفی DOS Attack و روش جلوگیری آن در SQL Server
۶- بررسی تنظیمات مربوط به Query Governor در SQL Server
۷- بررسی DMV و DMFهای مربوط به Resource Governor در SQL Server

 

 

 

 

 

 

مباحث امنیتی در Connection String

آیا شما جزء آن دسته افرادی هستید که Connection String را به صورت Plain Text در فایل Config ذخیره می‌کنید. همانطور که می‌دانید این موضوع باعث بوجود آمدن مشکلات امنیتی و… خواهد شد. کافی است یک نفر به فایل مورد نظر مراجعه و دسترسی و با استفاده از Login Name و… به بانک اطلاعاتی شما دسترسی پیدا کند.

در طی این دوره ما به شما روشی یاد می‌دهیم که Connection String را Encrypt کرده و علاوه بر آن کاری کنید که اگر Login Name و Password لو رفت صرفاً دسترسی به بانک اطلاعاتی با استفاده از Application شما میسر باشد و نه سایر Appها.

 

۱- بررسی مفهوم Connection String
۲- بررسی نحوه امن کردن Connection String سمت کلاینت
۳- بررسی DAC Connection در SQL Server

 

 

 

 

 

 

 

 

 

 

 

 

04-Security-training-course-SQL-Server

 

در این دوره چک لیست های بسیار حرفه ای و کاربردی برای شرکت کنندگان در نظر گرفته ایم.

جهت برقراری امنیت در SQL Server شما می توانید از این چک لیست های با ارزش استفاده کنید.

 

 

این چک لیست ها در ۴ حوزه زیر می باشد:

۱- Database Engine Security Configuration
۲- Enhancing the Security of Database Engine Connections
۳- Limiting Access to Data
۴- Encrypting Sensitive Data

 

 

 

 

 

 

 

 

 

05-Security-training-course-SQL-Server

 

بالا بردن امنیت با استفاده از ابزارهای بسیار حرفه ای در SQL Server

شما در این دوره با نحوه استفاده از این ابزارها آشنا خواهید شد.

همچنین تمامی این ابزارها در طول دوره که ارزش آنها بیش از ۱۰ هزار دلار است در اختیار شرکت کنندگان قرار خواهد گرفت.

 

۱- بررسی ابزار Apex SQL Audit و نحوه استفاده از آن
۲- بررسی نحوه استفاده از ابزار wireshark برای مانیتور کردن Packetهای SQL Server
۳- بررسی ابزار PsExec
۴- بررسی Microsoft Baseline Security Analyzer
۵- بررسی ابزار SQLMap و نحوه استفاده از آن
۶- معرفی ابزار SQL Server Password Changer
۷- بررسی ابزار Red-Gate SQL Backup Pro

 

 

 

 

 

 

 

 

 

 

 

06-Security-training-course-SQL-Server

 

SQL-Server-Design-Course03

 

قبل از هر چیز باید بگویم کیفیت فیلمبرداری و صوتی این دوره در حد سریال‌ها و تیزرهای تلویزیونی خواهد بود، پس به هیچ عنوان لازم نیست نگران کیفیت صوتی و تصویری این دوره باشید.

 

در این دوره هم از محیط کلاس و هم از دسکتاپ مدرس فیلمبرداری خواهد شد و بعد از میکس در اختیار دوستان شرکت کننده (حضوری و غیرحضوری) قرار خواهد گرفت.

 

 

 

 

 

اگر در شهرستان هستید یا پُرمشغله هستید چرا در دوره غیرحضوری شرکت نمی‌کنید!؟

برای دوستانی که در شهرستان هستند و یا به دلیل پُرمشغله بودن نمی‌توانند بصورت حضوری سر کلاس حاضر شوند، پیشنهادی ویژه‌ای داریم:

۱- بصورت غیرحضوری ثبت نام کنید، فیلم با کیفیت فوق حرفه‌ای به همراه جزوات کاملا رنگی و دستورالعمل اجرا دریافت کنید.

۲- هر دوجلسه یکبار فیلم دوره باکیفیت عالی به همراه جزوات و سایر هدایا با پست سفارشی و بصورت رایگان برای شما ارسال خواهد شد.

۳- سوالات خود را هم می‌توانید از مدرس در طول دوره در صفحه اختصاصی پشتیبانی دوره و گروه تلگرامی ویژه غیرحضوری ها بپرسید.

 

 

 

 

 

 

 

 

support-sql-server-design

 

 

 

برای استفاده بهتر از پشتیبانی لطفا شرایط زیر را رعایت فرمایید:

۱- لطفا و حتما بصورت کامل محصول را تا انتها تماشا کنید.
۲- سوالات شما لطفا و حتما در مورد این محصول باشد.
۳- شما بعد از سفارش این محصول طی ۶۰ روز می توانید سوالات خود را مطرح کنید.
۴- سایر خریداران نیز می توانند سوالات شما را جواب داده و امتیاز کسب کنند.

نکته: صفحه پشتیبانی این محصول کاملا اختصاصی و مخصوص خریداران این محصول می باشد و سایر دوستان به آن دسترسی نخواهند داشت.
همچنین دوستانی که از تلگرام استفاده می‌کنند، می‌توانند از خدمات پشتیبانی در یک گروه اختصاصی در تلگرام استفاده کنند.

 

 

 

 

 

 

 

 

 

 

 

 

07-Security-training-course-SQL-Server

 

یکی از بهترین قابلیت‌های گروه در تلگرام امکان پرسش و پاسخ می‌باشد.

فرض کنید شما روی مبل منزلتان نشسته‌اید و جلسه اول را مشاهده می‌کنید و سوالی در رابطه با این جلسه برای شما پیش می‌آید، همان لحظه سوال خود را در گروه ارسال می‌کنید و سپس مدرس دقایقی بعد پاسخ شما را می‌دهد.

 

relaxt-tablet

 

این یکی از سریعترین راه‌های پشتیبانی و پاسخ به سوالات دوره می‌باشد.

 

 

گروه در تلگرام چیست؟

زمانی که شما در یک گروه هستید می‌توانید به پرسش و پاسخ بپردازید و نظرات خود را نیز ارسال کنید تا دیگران نیز از نظرات فنی و تخصصی شما استفاده کنند.
همچنین هیچ شخصی در گروه شماره موبایل شما را نخواهد دید.

 

دوستانی که در این دوره ثبت نام می کنند بلافاصله به گروه VIP تلگرامی این دوره اضافه خواهند شد.

ما آدرس گروه تلگرام را برای دوستانی که ثبت نام کرده اند ارسال خواهیم کرد.

 

 

 

در گروه تلگرامی تنها دو قانون داریم:

۱- لطفا سوالات خود را فقط و فقط درباره همین دوره بپرسید.

۲- لطفا لینک گروه را برای سایر افراد ارسال نکنید (دعوت کننده و دعوت شونده برای مدیران گروه نمایش داده می شوند)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

08-Security-training-course-SQL-Server

 

برای ثبت نام بصورت غیرحضوری در دوره بر روی دکمه زیر کلیک کنید.

 

 

 

– فرآیند خرید را ادامه دهید.

– به درگاه بانک ملت متصل می شوید مبلغ دوره را پرداخت کنید.

– تبریک می گویم شما در لیت نهایی دوره بصورت حضوری قرار گرفتید.

 

 

۲- ثبت نام تلفنی
با شماره ۴۴۲۷۷۶۹۹ – ۰۲۱ و یا با شماره ۰۹۱۰۴۰۰۶۲۰۶ تماس بگیرد، مشخصات خود را اعلام کنید و ثبت نام خود را قطعی کنید.

 

 

۳- واریز وجه به شماره کارت
– مبلغ ۵۹۰ هزار تومان (غیرحضوری) را به شماره کارت ۶۰۳۷۹۹۱۴۷۵۹۶۰۸۶۴ بانک ملی | فرید طاهری واریز کنید.

– با شماره ۰۲۱۴۴۲۷۷۶۹۹ و یا شماره موبایل ۰۹۱۰۴۰۰۶۲۰۶ تماس بگیرید و مبلغ واریز شده و مشخصات خود را اعلام کنید

 

 

 

 

 

 

 

 

 

 

 

 

09-Security-training-course-SQL-Server

 

free-send-security

 

برای دوستانی که دوره را بصورت غیرحضوری دریافت می کنند هر دو جلسه یکبارجلسات برگزار شده را با پست سفارشی و بصورت رایگان ارسال خواهیم کرد.

 

 

 

 

 

 

 

 

 

 

10-Security-training-course-SQL-Server

 

۱- ۳۰ ساعت آموزش تصویری +۳۰۰ دقیقه تمرین اضافی کلاسی بر روی یک فلش مموری

۲- پاورپوینت دوره

۳- مثال‌ها و اسکریپت‌های دوره

۴- تمرین ها و چک لیست های دوره

۵- پرسش و پاسخ تلگرامی به همراه مسابقات هفتگی در گروه

 

 

 

 

 

 

 

 

 

 

 

11-Security-training-course-SQL-Server

 

 

 

 

 

 

 

 

 

 

 

 

 

 

12-Security-training-course-SQL-Server

 

اعتراض اول: کیفیت دوره‌هایی که فیلمبرداری می‌شوند پایین است و نمی توان از آنها خوب استفاده کرد.
برای اینکه کیفیت فیلمبرداری را بالا ببریم از تجهیزات ۲۰ میلیون تومانی استفاده کردیم، هم صدا و هم تصویر در حد عالی است.

 

 

 

اعتراض دوم : مطالب تکراری را آموزش می‌دهید

سرفصل‌هایی که در این دوره گفته می‌شوند کاملا منحصربفرد و بسیار حرفه‌ای انتخاب شده‌اند، ما گارانتی برگشت پول داریم و اگر به هر نحوی از این دوره ناراضی بودید، مبلغ شما را عودت خواهیم داد.

با یادگیری مطالب این دوره به شما قول می‌دهیم که درآمد و حقوق شما بشدت بالا برود.

 

 

 

 

اعتراض سوم: سوالاتی که در طول دوره پیش می‌آید را از کسی نمی‌توانم بپرسم

اتفاقا یکی از تفاوت‌های ما با سایر آموزشگاه در این است که افرادی که در دوره‌های ما شرکت می‌کنند، می‌توانند در صفحه پشتیبانی دوره سوالات خود را از مدرس دوره پرسیده و جاوب خود را دریافت کنند.
تمامی دوره‌ها و محصولات نیک آموز دارای پشتیبانی است.

 

 

 

 

 

 

 

 

 

آیا مبلغ دوره مناسب است؟

۵۹۰ هزار تومان بسیار بسیار ارزان است. توجه کنید این دوره در ۱۰ جلسه است و مطالبی که گفته می‌شود بسیار منحصربفرد است همچنین مدرس از تجربیات خود در شرکت‌های بزرگ و کوچک می‌گوید.
تمامی دوستانی که در دوره های ما بصورت حضوری و یا غیرحضوری شرکت کرده اند کاملا از مطالب دوره رضایت داشته اند.

 

 

پاسخ به سوالات متداول در مورد این دوره آموزشی

1- نوع ثبت‌نام خود اعم از حضوری یا غیرحضوری را مشخص کنید
۲- بر روی دکمه افزودن به سبد خرید کلیک کنید.
۳- اطلاعات درخواستی را تکمیل و پرداخت را انجام دهید.
۴- شما در لیست ثبت‌نام کنندگان این دوره قرار گرفته‌اید.
۵- ۲ دقیقه بعد ایمیل خود را بررسی نمایید اطلاعات ثبت نام به همراه سایر توضیحات به ایمیل شما ارسال شده است.

برنامه نویسان و مدیران بانک اطلاعاتی و افرادی که می‌خواهند در حوزه امنیت بانک‌های اطلاعاتی فعالیت کنند.

این گروه شامل پشتیبانی تلگرامی VIP است. تصور کنید شما جلسه اول را گذارنده‌اید و یا فیلم آنرا تماشا کرده‌اید، حال از جلسه اول یک سوال برای شما پیش آمده است: و می‌توانید به راحتی در گروه مطرح کنید و به جواب برسید.

این دوره آموزشی شامل ۱۰ جلسه ۳ ساعته یعنی در کل ۳۰ ساعت آموزش به همراه تمرین اضافی کلاسی است.

خیر، واقعیت این است که یک تیم پرتلاش با مدرسین واقعا حرفه‌ای بصورت شبانه‌روزی فعالیت می‌کنند تا بتوانند دوره‌های آموزشی در سطح بسیار بالایی تولید کنند.
لطفا و خواهشا کپی نکنید و موارد زیر را مدنظر داشته باشید:

  • در نیک آموز بر روی مطالب آموزشی و دوره‌ها قفل گذاشته نمی‌شود تا شما دوست عزیز بدون دردسر بتوانید مطالب آموزشی را در هر دستگاهی تماشا نمایید.
  • محتوای خریداری شده را می‌توانید با بستگان درجه یک (همسر، پدر،مادر،خواهر،برادر) به اشتراک بگذارید.
  • ما از کپی محتوای آموزشی نیک آموز تحت هیچ شرایطی رضایت نداریم. این مورد شرعا حرام و موارد مشاهده شده پیگرد قانونی خواهد داشت همان طور که شما تمایل ندارید برنامه شما کپی شود مجموعه نیک آموز هم از کپی دوره‌ها کاملا ناراضی است.
  • محتوا را میتوانید توسط تیم خودتان و داخل شرکت خودتان تماشا کنید ولی اگر محتوا را به بیرون از شرکت انتقال دهید ما کاملا از این موضوع ناراضی هستیم.
  • خواهشمندیم به موارد مطرح شده پایبند بوده زیرا تمامی محتواهای آموزشی نیک آموز در سازمان وزارت ارشاد بصورت قانونی ثبت شده است و موارد مشاهده شده پیگرد قانونی خواهد داشت.

7 دیدگاه برای دوره [۰۰۷] امنیت در SQL Server

  1. مهدی آقائی آقائی

    :

        با سلام

    در مورد مطلبی که فرمودید: “همچنین تمامی این ابزارها در طول دوره که ارزش آنها بیش از ۱۰ هزار دلار است در اختیار شرکت کنندگان قرار خواهد گرفت.”
    آیا این مورد افرادی را که به صورت غیر حضوری ثبت نام کرده اند شامل می شود. یا بعبارتی این ابزار ها مانند (Apex SQL Audit و .. ) برای ثبت نامی های غیر حضوری هم ارسال می شود.
    با تشکر
    • فرید طاهری

      :

          سلام دوست عزیز.

       بلی این ابزارها برای تمامی دوستان این ابزارها ارسال خواهد شد.
  2. Hamid Jabarpourfard

    :

       خیلی عالیست. ولی حالا چرا ۰۰۷؟ 🙂

    • فرید طاهری

      :

          سلام دوست عزیز

      ۰۰۷ نماد امنیت و ضدجاسوسی است. دلیل خاصی ندارد.
  3. علی توانا

    :

    بسیار تیم فعال و با انگیزه ای در نیک آموز فعالیت می کنند
    امیدوارم همیشه موفق و پایدار باشید و روز به روز قوی تر و بزرگ تر از گذشته

  4. حمید
    4 out of 5

    (مالک تایید شده):

    سلام و خسته نباشید. میخواستم بدونم این دوره برای کسانی که در سازمانشون از SQL Server 2008 استفاده میکنند هم مناسب است؟ یا فقط مطالب مربوط به ۲۰۱۶ است؟ من در محل کارم با ۲۰۰۸ کار میکنم آیا این دوره مناسب بنده هم هست؟ ممنون

    • فرید طاهری

      :

      سلام دوست عزیز
      بلی مناسب است ولی برخی از امکانات که از ۲۰۰۸ به بالاتر است در دوره گفته شده است (البته اشاره شده که این امکان در کدام نسخه ها قابل استفاده است)
      موفق باشید

  5. smortezasr@gmail.com
    4 out of 5

    :

    با سلام خدمت اقای فرید طاهری
    من این بسته را در نمایشگاه دریافت کردم .در صورت امکان لینک گروه را برای اینجانب ارسال فرمایید .
    با تشکر

    • فرید طاهری

      :

      با سلام خدمت شما.
      لینک گروه به ایمیل شما ارسال گردید.

  6. اسماعیل
    5 out of 5

    :

    با سلام خدمت استاد عزیز. ممنون از دوره آموزشی عای که داشتین.

    سوالم اینه که من الان روی ۵ تا دیتابیس مختلف ( ۵ شرکت مجزا ) این TDE رو با الگوریتم و حتی password کاملا یکسان پیاده سازی کردم. یکی از شرکت ها از این TDE بک آپ گرفت و من الان ترسم اینه که این backup رو به بقیه شرکت ها بده.

    چطور میتونم الان این ۴ تا شرکت رو از هم و از اون شرکتی که خودش backup داره مجزا کنم طوری که هیچکدوم نتونن به دیگری این نسخه backup رو بدن؟؟؟

    ممنون

    • مسعود طاهری

      :

      هر کدام بکاپ دیتابیس را به هم دیگه بدهند غیر قابل ریستور است
      مگر آنکه Keyها و… هم Backupش داده شود

      در ضمن برای Encrypt کردن بکاپ ها تون می توانید از ویژگی های ارائه شده در SQL Server 2014 استفاده کنید.
      این ویژپی Backup Encryption نام دارد

  7. مسلم
    5 out of 5

    :

    In-band SQLi (Classic SQLi)
    Out-of-band SQLi
    Error-based SQLi
    Inferential SQLi (Blind SQLi)
    Boolean-based (content-based) Blind SQLi
    Time-based Blind SQLi
    Union-based SQLi
    مباحث فوق هم توی پکیج تون بحث شده کامل ؟ یعنی مدل حملات sqli تشریح شده یا فقط به یه دونه بالانس کردن کوئری و سواستفاده با or اشاره شده؟

    • مسعود طاهری

      :

      سلام
      این موارد در دوره بررسی نشده
      این مواردی که شما فرمودید بیشتر مبحث هک و حملات و … است
      جزئیات نکاتی که بررسی شده را در سرفصل ها می توانید مشاهده کنید تکنیک های پیاده سازی امنیت و آشنایی با مباحث امنیتی SQL Server بیشتر مورد بحث قرار گرفته است

دیدگاه خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

محصولات مرتبط

تمامی حقوق مادی و معنوی این وب سایت متعلق به نیک آموز می باشد.
این سایت توسط تیم آموزش برنامه نویسی نیک آموز مدیریت می شود.