KB4073225-إرشادات SQL Server لحماية المشاكل التي تتعلق بالسبيكتري والميلتدوون والبناء الصغير

الملخص

تعرف Microsoft علي الفئة الجديدة التي تم الكشف عنها بشكل عام من المشاكل التي يشار اليها ب "سبيكولاتيفي تنفيذ القناات الجانبية" التي تؤثر علي العديد من المعالجات الحديثة وأنظمه التشغيل. يتضمن هذا Intel و AMD و ARM. ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. تؤثر هذه المشكلة أيضا علي أنظمه أخرى ، مثل Android و Chrome و iOS و MacOS. ولذلك ، فاننا ننصح العملاء بالبحث عن الإرشادات من هؤلاء الموردين.

أصدرت Microsoft تحديثات عديده للمساعدة علي تقليل هذه الثغرات الامنيه. لقد حصلنا أيضا علي اجراء لتامين خدمات السحابة الخاصة بنا. راجع الأقسام التالية للحصول علي مزيد من المعلومات.

لم تتلق Microsoft اي معلومات للاشاره إلى انه قد تم استخدام هذه الثغرات الامنيه لمهاجمه العملاء في الوقت الحالي. تستمر Microsoft في العمل بشكل كبير مع شركاء الصناعة ، بما في ذلك صناعات الرقاقة ، وشركات Oem ، وبائعي التطبيقات ، لحماية العملاء. للحصول علي كل الحمايات المتوفرة والاجهزه أو البرامج الثابتة وتحديثات البرامج مطلوبه. يتضمن هذا ميكروكودي من شركات Oem ، وفي بعض الحالات ، تحديثات لبرامج الحماية من الفيروسات. لمزيد من المعلومات حول الثغرات الامنيه ، راجع الADV180002 الاستشارية ل Microsoft Security. للحصول علي الإرشادات العامة لتقليل هذه الثغرة الامنيه لهذه الفئة ، راجع الإرشادات المتعلقة بمشاكل عدم حصانه القناة الجانبية لتنفيذ سبيكولاتيفي

ADV190013 microsoft المنشورة-إرشادات microsoft لتقليل الثغرات الامنيه لنماذج البيانات في ميكروارتشيتيكتورال مايو 2019. لا يتضمن SQL Server اي تصحيحات أمان محدده للمشكلة المذكورة في ADV190013. يمكنك العثور علي إرشادات للبيئات المتاثره بالADV190013 في قسم التوصيات في هذه المقالة. يرجى ملاحظه ان هذا الاستشاري ينطبق فقط علي معالجات Intel.

كيفيه الحصول علي التحديث وتثبيته

يتوفر هذا التحديث أيضا من خلال خدمات update في Windows Server (WSUS) ، أو موقع ويبلكتالوج Microsoft update.ملاحظه: لن يتم تنزيل هذا التحديث وتثبيته تلقائيا عبر Windows update.

تصحيحات SQL المتوفرة

في وقت النشر ، تتوفر إصدارات SQL Server المحدثة التالية للتنزيل:

إصدار الخدمة

4057122 وصف التحديث الأمني ل SQL server 2017 GDR: رقم 3 يناير 2018 4058562 وصفا لتحديث الأمان ل SQL SERVER 2017 RTM CU3:3 يناير, 2018 4058561 الخاصة بتحديث الأمان ل sqlserver 2016 GDR Sp1:3 يناير, 20184057118 وصف التحديث الأمني ل sql server 2016 الإصدارات الخاصة بالإصدارالأحدث: الإصدار 6 يناير 2018 الوصف الخاص بالتحديث الأمني ل sql server 2016 GDR: 6 يناير ، 2018 4057117الخاصة بتحديث الأمان ل sql server2014 sp2 CU10:16 يناير 2018 الوصف الخاص بتحديث الأمان ل sql server 4057120 SP4 المزود بالخدمة العامة4058560 : 12 يناير 20184057115 وصفا لتحديث الأمان ل sql SERVER 2012 sp3 عام: يناير ، 20184057121 لتحديث الأمان ل SQL SERVER 2012 SP4كو:يناير6, 20184057114 الوصف الخاص بتحديث الأمان ل sql server 2008 R2 SP3:6 يناير, 2018

سيتم تحديث هذا المستند عند توفر الإصدارات الاضافيه المحدثة.

ملاحظات

  • لقد قمنا بإصدار جميع التحديثات المطلوبة ل SQL Server لتخفيف "سبيكتري" و "ميلتدوون" سبيكولاتيفي المشاكل المتعلقة بالقناة الجانبية للتنفيذ. لا تعرف Microsoft علي اي تعرض اضافيه إلى "سبكتر" و "ميلتدوون" سبيكولاتيفي المشاكل المتعلقة بالقناة الجانبية لتنفيذ المكونات غير المدرجة في القسم "تصحيحات SQL المتوفرة".

  • ستحتوي كل حزم خدمات sql server 2014 و sql server 2016 و SQL Server 2017 والتحديثات التراكمية علي التصحيحات. علي سبيل المثال ، يحتوي SQL Server 2016 SP2 بالفعل علي إصلاحات سبكتر و ميلتدوون.

  • بالنسبة إلى إصدارات Windows ، يمكنك الرجوع إلى الإرشادات التالية للحصول علي أحدث المعلومات حول الإصدارات المتوفرة من Windows:

    مشاكل عدم حصانه القناة الجانبية ل سبكتر/ميلتدوون

    إرشادات حول مشاكل عدم حصانه نماذج البيانات في Windows Server لميكروارتشيتيكتورال

    بالنسبة إلى إصدارات Linux ، اتصل بمورد linux للعثور علي آخر الإصدارات المحدثة لتوزيع Linux الخاص بك.

  • لمعالجه الثغرات الامنيه لسبكتر والميلتدوون بسرعة قدر الإمكان ، تم تسليم تحديثات SQL Server هذه أولا إلى مركز التنزيل ل Microsoft كنموذج التسليم الأساسي. علي الرغم من انه سيتم تسليم هذه التحديثات من خلال Microsoft Update في مارس ، نوصي بقيام العملاء المتاثرين بتثبيت التحديث الآن من دون الانتظار حتى يصبحوا متاحين من خلال Microsoft Update.

إصدارات SQL Server المعتمدة المتاثره

توصي Microsoft بتثبيت تحديثات SQL Server (المدرجة أدناه) كجزء من دوره التصحيح العادية.  العملاء الذين يقومون بتشغيل SQL Server في بيئة أمنه حيث يتم حظر نقاط التوسعة وكل التعليمات البرمجية للطرف الثالث التي يتم تشغيلها علي الخادم نفسه والموافقة عليها لا تتاثر بهذه المشكلة.

تتوفر الإصدارات التالية من SQL Server التحديثات عند تشغيلها علي نظامي المعالج x86 و x64:

  • SQL Server 2008

  • SQL Server 2008R2

  • SQL Server 2012

  • SQL Server 2014

  • SQL Server 2016

  • SQL Server 2017

لا تعتقد ان IA64 (Microsoft SQL Server 2008) يتاثر بذلك. تستند خدمه النظام الأساسي التحليلي ل microsoft (APPS) إلى Microsoft SQL Server 2014 أو Microsoft SQL Server 2016 ، ولكنها لا تتاثر بشكل خاص. يتم سرد بعض الإرشادات العامة ل APPS لاحقا في هذه المقالة.

توصيه

يوضح الجدول التالي المهام التي يجب تنفيذها ، استنادا إلى البيئة التي يتم فيها تشغيل SQL Server والوظائف التي يتم استخدامها. توصي Microsoft بنشر الإصلاحات باستخدام إجراءاتك المعتادة لاختبار الثنائيات الجديدة قبل نشرها في بيئات الإنتاج.

رقم السيناريو

وصف السيناريو

توصيات الاولويه

1

قاعده بيانات Azure SQL ومستودع البيانات

لا يوجد اي اجراء مطلوب (انظر هنا للحصول علي التفاصيل).

متابعه

يتم تشغيل SQL Server علي كمبيوتر فعلي أو جهاز ظاهري

ولا تتحقق اي من الشروط التالية:

  • التطبيق الآخر الذي يقوم بتنفيذ رمز هوستيلي المحتمل هو الذي تتم استضافته علي الكمبيوتر نفسه

  • يتم استخدام واجات القابلية لتوسعه SQL Server مع التعليمات البرمجية غير الموثوق بها (انظر أدناه للقائمة)

 

توصي Microsoft بتثبيت كل تحديثات نظام التشغيل tالحماية ضد CVE 2017-5753.

توصي Microsoft بتثبيت كل تحديثات نظام التشغيل لحمايتها من الثغرات الامنيه لنماذج البيانات الميكروارتشيتيكتوراله (CVE-2018-12126 و CVE-2018-12130 و 2018-12127 CVE و 2018-11091 CVE).

تمكين ميزه النسخ المتماثل لعنوان Kernel الظاهري (كفاس) ودعم الاجهزه التي يمكن التنبؤ بالفرع غير المباشر (إيبب) غير مطلوبه (انظر أدناه). يجب تثبيت تصحيحات SQL Server كجزء من نهج التصحيح العادي في نافذه "التحديث المجدول التالي".

يمكنك الاستمرار في زيادة هايبرثريدينج علي مثل هذا المضيف.

n

يتم تشغيل SQL Server علي كمبيوتر فعلي أو جهاز ظاهري

والتطبيق الآخر الذي يقوم بتنفيذ التعليمات البرمجية من المحتمل ان هوستيلي التي تتم استضافتها علي الكمبيوتر نفسه

و/أو واجات القابلية لتوسعه SQL Server التي يتم استخدامها مع التعليمات البرمجية غير الموثوق بها (انظر أدناه للقائمة)

 

 

 

توصي Microsoft بتثبيت كل تحديثات نظام التشغيل للحماية ضد CVE 2017-5753.

توصي Microsoft بتثبيت كل تحديثات نظام التشغيل لحمايتها من الثغرات الامنيه لنماذج البيانات الميكروارتشيتيكتوراله (CVE-2018-12126 و CVE-2018-12130 و 2018-12127 CVE و 2018-11091 CVE).

تطبيق تصحيحات SQL Server (راجع أدناه). يؤدي هذا إلى الحماية من CVE 2017-5753.

يوصي بتمكين النسخ المتماثل لعنوان Kernel الظاهري (كفاس) (انظر أدناه). يؤدي هذا إلى الحماية من CVE 2017-5754.

يوصي بشده بتمكين دعم أجهزه التوقعات الفرعية (إيبب) يؤدي هذا إلى الحماية ضد CVE 2017-5715

نوصي بتعطيل هايبرثريدينج علي المضيف في حال استخدام معالجات Intel.

t

يتم تشغيل SQL Server علي كمبيوتر فعلي

والتطبيق الآخر الذي يقوم بتنفيذ التعليمات البرمجية المحتملة هوستيلي غير مستضاف بالاشتراك علي الكمبيوتر نفسه

ويتم استخدام واجات القابلية لتوسعه SQL Server لتنفيذ التعليمات البرمجية الموثوق بها. تتضمن 

  • تجميعات CLR التي تمت مراجعتها/الموافقة علي استخدامها في الإنتاج

  • الخوادم المرتبطة التي تثق بها عند تشغيل استعلامات فيتيد التي تثق بها

غير الامثله:

  • البرامج النصية ل R/بيتون التي تم تنزيلها من الإنترنت

  • Uنتروستيد الثنائيات من طرف ثالث

توصي Microsoft بتثبيت كل تحديثات نظام التشغيل tالحماية ضد CVE 2017-5753.

توصي Microsoft بتثبيت كل تحديثات نظام التشغيل لحمايتها من الثغرات الامنيه لنماذج البيانات الميكروارتشيتيكتوراله (CVE-2018-12126 و CVE-2018-12130 و 2018-12127 C،و 2018-11091 CVE).

يوصي بتمكين النسخ المتماثل لعنوان Kernel الظاهري (كفاس) (انظر أدناه). يؤدي هذا إلى الحماية من CVE 2017-5754.

يوصي بشده بتمكين دعم أجهزه التوقعات الفرعية (إيبب) يؤدي هذا إلى الحماية ضد CVE 2017-5715

نوصي بتعطيل هايبرثريدينج علي هذه البيئة في حال استخدام معالجات Intel.

يجب تثبيت تصحيحات SQL Server كجزء من نهج التصحيح العادي في نافذه "التحديث المجدول التالي".

5

يتم تشغيل SQL Server علي Linux OS.

تطبيق تحديثات Linux OS من موفر التوزيع.

تطبيق تصحيحات Linux SQL Server (انظر أدناه). يؤدي هذا إلى الحماية من CVE 2017-5753.

راجع أدناه للحصول علي إرشادات حول ما إذا كنت تريد تمكين عزل جدول صفحه Linux Kernel (كبتي) و إيبب (كفيس CVE 2017-5754 و CVE 2017-5715).

نوصي بتعطيل هايبرثريدينج علي مثل هذه البيئة إذا تم استخدام معالجات Intel ل#3 السيناريو وال#4 المذكورة أعلاه.

6

نظام التحليل الأساسي للتحليلات (APPS)

علي الرغم من ان APPS لا يعتمد ميزات القابلية للتوسعة من SQL Server المدرج في هذه النشرة ، فينصح بتثبيت التصحيحات في Windows علي جهاز APPS. تمكين كفاس/إيبب غير مطلوب.

النصائح الاستشارية للأداء

ينصح العملاء بتقييم أداء تطبيقه الخاص عند تطبيق التحديثات.

تنصح Microsoft بتثبيت الإصدارات المحدثة من SQL Server و Windows. يجب ان يكون لهذا الاجراء تاثير أداء من نيجليجيبلي إلى الحد الأدنى علي التطبيقات الموجودة ، استنادا إلى اختبار Microsoft لأحمال العمل. ومع ذلك ، ننصحك بان تختبر كل التحديثات قبل نشرها في بيئة إنتاج.

لقد قياست Microsoft تاثير النسخ المتماثل لعنوان Kernel الظاهري (كفاس) ، وجدول صفحه Kernel (كبتي) وتقليل توقعات الفرع الفرعي (إيبب) علي أحمال متعددة من SQL في بيئات متعددة والعثور علي بعض الأحمال باستخدام انخفاض كبير. نوصي باختبار تاثير الأداء لتمكين هذه الميزات قبل نشرها في بيئة إنتاج. إذا كان تاثير أداء تمكين هذه الميزات مرتفعا للغاية لتطبيق موجود ، فيمكنك ان تاخذ في الاعتبار ما إذا كانت عزل SQL Server من التعليمات البرمجية غير الموثوق بها التي يتم تشغيلها علي الكمبيوتر نفسه أفضل من التخفيف للتطبيق.

مزيد من المعلومات حول تاثير الأداء الخاص بالتوقعات الفرعية الخاصة بالتنبؤ بالفرع غير المباشر (إيبب) يتم توضيحه هنا.

ستقوم Microsoft بتحديث هذا المقطع مع مزيد من المعلومات عند توفره.

تمكين النسخ المتماثل لعنوان Kernel الظاهري (كفاس في Windows) وجدول صفحات Kernel غير المباشرة (كبتي في Linux)

كفاس وكبتي التخفيف مقابل CVE 2017-5754 ، والمعروف أيضا باسم "ميلتدوون" أو "المتغير 3" في كشف الجبز.

يتم تشغيل SQL Server علي العديد من البيئات: أجهزه الكمبيوتر الفعلية ، VMs في بيئات السحابة العامة والخاصة ، في النظامين Linux و Windows. بصرف النظر عن البيئة ، يتم تشغيل البرنامج علي كمبيوتر أو VM. اتصل بهذا الحد.

إذا كانت كل التعليمات البرمجية في الحد تملك حق الوصول إلى كل البيانات في هذا الحد، فلا حاجه لأي اجراء. إذا لم يكن الأمر كذلك ، سيتم اعلام الحد بأنه متعدد المستاجرين. المشاكل التي تم العثور عليها تتيح لك اي تعليمه برمجيه ، حتى مع الأذونات المنخفضة ، التي يتم تشغيلها في اي عمليه في هذا الحد ، لقراءه اي بيانات أخرى داخل هذا الحد. إذا كانت هناك اي عمليه في الحد الذي يقوم بتشغيل التعليمات البرمجية غير الموثوق بها ، فقد تستخدم هذه الثغرات الامنيه لقراءه البيانات من العمليات الأخرى. قد تكون هذه التعليمات البرمجية غير الموثوق بها عبارة عن تعليمات برمجيه غير موثوق بها باستخدام التقنيات القابلة للتوسعة SQL Server

للحماية من التعليمات البرمجية غير الموثوق بها في حد متعدد المستاجرين ، استخدم أحدي الطريقتين التاليتين

  • أزاله التعليمات البرمجية غير الموثوق بها. للحصول علي مزيد من المعلومات حول كيفيه القيام بذلك لتقنيات التوسعة في SQL Server ، راجع أدناه. لأزاله التعليمات البرمجية غير الموثوق بها من تطبيقات أخرى في الحد نفسه ، تكون التغييرات الخاصة بالتطبيق ضرورية عاده. علي سبيل المثال ، يمكنك الفصل بين VMs.

  • قم بتشغيل كفاس أو كبتي. سيكون لهذا تاثير الأداء. لمزيد من المعلومات ، كما هو موضح سابقا في هذه المقالة.

للحصول علي مزيد من المعلومات حول كيفيه تمكين كفاس لنظام التشغيل Windows ، راجع KB4072698. للحصول علي مزيد من المعلومات حول كيفيه تمكين كبتي في Linux ، راجع موزع نظام التشغيل لديك.

مثال علي السيناريو الذي يوصي فيه كفاس أو كبتي بشده

كمبيوتر فعلي محلي يستضيف SQL Server كحساب مسؤول غير نظام يسمح للعملاء بإرسال البرامج النصية العشوائية ل R للتشغيل عبر SQL Server (الذي يستخدم العمليات الثانوية لتشغيل هذه البرامج النصية خارج سقلسيرفر). من الضروري تمكين الكفاس والكبتي من الحماية من الكشف عن البيانات ضمن العملية سقلسيرفر والحماية من الكشف عن البيانات ضمن ذاكره kernel للنظام. ملاحظة يتم إصدار Acrobat Reader من قِبل شركة Adobe Systems Inc.‎. لا يتم اعتبار اليه قابليه التوسعة داخل SQL Server أمنه تلقائيا لأنها قيد الاستخدام. يمكن استخدام هذه أليات بأمان في SQL Server طالما ان كل تبعية يمكن فهمها والوثوق بها بواسطة العميل. بالاضافه إلى ذلك ، هناك المنتجات الأخرى التي يتم إنشاؤها في الجزء العلوي من SQL الذي قد يتطلب عمل أليات القابلية للتوسعة بشكل صحيح. علي سبيل المثال ، قد يتطلب التطبيق الذي تم إنشاؤه في اعلي SQL server الخادم المرتبط أو اجراء CLR المخزن لكي يعمل بشكل صحيح. لا توصي Microsoft بإزالتها كجزء من التخفيف. بدلا من ذلك ، يمكنك مراجعه كل استخدام لتحديد ما إذا كانت هذه التعليمات البرمجية مفهومه وموثوق بها كاجراء اولي. يتم توفير هذا الدليل لمساعده العملاء علي تحديد ما إذا كانوا في حاله تمكنهم من تمكين كفاس. هذا لان هذا الاجراء له ضمانات الأداء الهامه.

تمكين دعم الاجهزه لتقليل توقعات الفرع غير المباشر (إيبب)

إيبب ميتيجاتيس مقابل CVE 2017-5715 ، المعروف أيضا باسم نصف السبكتر أو "المتغير 2" في كشف الجبز.

تقوم الإرشادات الموجودة في هذه المقالة لتمكين كفاس علي Windows أيضا بتمكين إيبب. ومع ذلك ، يتطلب إيبب أيضا تحديثا للبرامج الثابتة من الشركة المصنعة للجهاز. بالاضافه إلى الإرشادات الموجودة في KB4072698 لتمكين الحماية في Windows ، يجب علي العملاء الحصول علي التحديثات وتثبيتها من الشركة المصنعة للاجهزه.

مثال لسيناريو إيبب من المستحسن جدا

يقوم الكمبيوتر الفعلي المحلي باستضافة SQL Server بالاضافه إلى أحد التطبيقات التي تسمح للمستخدمين غير الموثوق بهم بتحميل التعليمات البرمجية ل JavaScript العشوائية وتنفيذها. بافتراض انه هناك بيانات سريه في قاعده بيانات SQL ، من المستحسن بشده ان إيبب مقياسا للحماية من الكشف عن المعلومات الخاصة بالعملية.

في الحالات التي يكون فيها دعم الاجهزه الإيبب غير موجود ، توصي Microsoft بفصل العمليات غير الموثوق بها والعمليات الموثوق بها علي أجهزه كمبيوتر فعليه مختلفه.

مستخدمو Linux: اتصل بموزع نظام التشغيل للحصول علي معلومات حول كيفيه الحماية من المتغير 2 (CVE 2017-5715).

مثال علي السيناريو الذي يوصي فيه التخفيف لمشاكل عدم حصانه نماذج البيانات في ميكروارتشيتيكتورال

ضع في اعتبارك مثالا لان الخادم المحلي يقوم بتشغيل مثيلين من SQL Server يستضيف اثنين من تطبيقات العمل المختلفة علي جهازين ظاهريين مختلفين علي المضيف الفعلي نفسه. افترض انه يجب الا يتمكن هذين التطبيقين من قراءه البيانات المخزنة عبر مثيلات SQL Server. قد يتمكن المهاجم الذي نجح في استغلال هذه الثغرات الامنيه من قراءه البيانات المسموح بها عبر حدود الثقة باستخدام التعليمات البرمجية غير الموثوق بها علي الجهاز كعمليه منفصلة أو تنفيذ تعليمات برمجيه غير موثوق بها باستخدام تقنيه SQL Server للتوسعة في SQL Server). في بيئات الموارد المشتركة (علي سبيل المثال ، في بعض عمليات تكوين الخدمات السحابية) ، يمكن ان تسمح هذه الثغرات الامنيه للجهاز ظاهري واحد بالوصول إلى معلومات من آخر بشكل غير صحيح. في السيناريوهات غير القابلة للاستعراض في الانظمه المستقلة ، يحتاج المهاجم إلى الوصول السابق إلى النظام أو امكانيه تشغيل تطبيق مكون خصيصا علي النظام الهدف لرفع هذه الثغرات الامنيه.

تقنيات القابلية لتوسعه SQL Server غير الموثوق بها

يحتوي SQL Server علي العديد من ميزات التوسعة والتقنيات. يتم تعطيل معظم هذه أليات بشكل افتراضي. علي الرغم من ذلك ، فاننا ننصح العملاء بمراجعه كل مثيل للإنتاج لاستخدام ميزه قابليه التوسعة. من المستحسن تقييد كل من هذه الميزات بالحد الأدنى لمجموعه الثنائيات ، ويقوم العملاء بتقييد الوصول لمنع تشغيل التعليمات البرمجية العشوائية علي الكمبيوتر نفسه الذي يستخدمه SQL Server. نحن ننصح العملاء بتحديد ما إذا كنت تريد الوثوق بكل ثنائي ، وتعطيل الثنائيات غير الموثوق بها أو ازالتها.

  • تجميعات SQL CLR

  • حزم R و بيتون التي تعمل عبر اليه البرامج النصية الخارجية أو يتم تشغيلها من "الاستوديو التعليمية المستقلة من R/الاجهزه" علي الكمبيوتر الفعلي نفسه الذي يستخدمه SQL Server

  • نقاط توسعه SQL Agent التي يتم تشغيلها علي الكمبيوتر الفعلي نفسه الذي يستخدمه SQL Server (البرامج النصية ل ActiveX)

  • موفرو الخدمات الخاصة ب Microsoft OLE DB مستخدمون في خوادم مرتبطة

  • الإجراءات المخزنة غير الموسعة ل Microsoft

  • عناصر COM التي تم تنفيذها داخل الخادم (يتم الوصول اليها عبر sp_OACreate)

  • البرامج التي يتم تنفيذها من خلال xp_cmdshell

ميتيجيشنز التي يجب تنفيذها في حاله استخدام التعليمات البرمجية غير الموثوق بها في SQL Server:

سيناريو/حاله الاستخدام

الخطوات الميتيجيشنزه أو المقترحة

تشغيل SQL Server مع CLR الممكن (sp_configure ' clr ممكن ', 1)

  1. إذا كان ذلك ممكنا ، فقم بتعطيل CLR إذا لم يكن مطلوبا في التطبيق الخاص بك لتقليل مخاطر التعليمات البرمجية غير الموثوق بها التي تم تحميلها إلى SQL Server

  1. (SQL Server 2017 +) إذا لم يكن CLR مطلوبا في التطبيق ، فيمكنك تمكين تحميل التجميعات المحددة فقط باستخدام ميزه "الأمان الصارم ل CLR" (الأمان الصارم ل clr) باستخدام sys.sp_add_trusted_assembly (Sys.sp_add_trusted_assembly (اللعمليات-SQL))

  1. خذ في الاعتبار ما إذا كان بالإمكان ترحيل التعليمات البرمجية CLR إلى تعليمات برمجيه مكافئه ل SQL

  1. راجع أذونات الأمان لتامين وحدات السيناريو التي يمكن استخدام العمليات المستندة إلى CLR فيها. قم بتقييد إنشاء تجميع وتجميع وصول خارجي واذن تجميع غير أمن إلى الحد الأدنى لمجموعه من المستخدمين أو مسارات التعليمات البرمجية لمنع تحميل تجميعات جديده إلى تطبيق منشور موجود.

تشغيل البرامج النصية الخارجية ل Java/بيتون من داخل SQL Server (sp_configure ' البرامج النصية الخارجية الممكنة ', 1)

  1. إذا أمكن ، قم بتعطيل امكانيه البرامج النصية الخارجية إذا لم تكن بحاجه اليها في التطبيق الخاص بك لتقليل منطقه سطح الهجوم.

  1. (SQL Server 2017 +) إذا كان ذلك ممكنا ، قم بترحيل البرامج النصية الخارجية لتسجيل الدخول لاستخدام ميزه تسجيل الدخول الاصليه بدلا من ذلك (التسجيل الأصلي باستخدام الدالة T-SQL)

  1. راجع أذونات الأمان لتامين وحدات السيناريو التي يمكن استخدام البرامج النصية الخارجية فيها. الحد الخاص بتنفيذ اي اذن لبرنامج نصي خارجي إلى الحد الأدنى لمجموعه من المستخدمين/مسارات التعليمات البرمجية لمنع البرامج النصية العشوائية من التنفيذ.

استخدام الخوادم المرتبطة (sp_addlinkedserver)

  1. راجع موفري OLEDB المثبتين وجرب أزاله اي موفري OLEDB غير موثوق بهم من الجهاز. (تاكد من عدم أزاله موفري OLEDB إذا كانوا يستخدمون خارج SQL Server علي الجهاز). مثال علي كيفيه تعداد موفري OLEDB الموجودين هنا: أوليدبينوميراتور جيتينوميراتور (Type)

  1. راجع اي خوادم مرتبطة غير ضرورية من SQL Server (sp_dropserver) وقم بإزالتها لتقليل امكانيه تنفيذ اي تعليمات برمجيه غير موثوق بها ضمن عمليه سقلسيرفر

  1. راجع أذونات الأمان لتامين تبديل الأذونات الخاصة بالخادم المرتبط إلى الحد الأدنى لعدد المستخدمين.

  1. مراجعه تعيينات تسجيل الدخول إلى الخادم المرتبط/بيانات الاعتماد (sp_addlinkedsvrlogin/sp_droplinkedsvrlogin) لتحديد الأشخاص الذين يمكنهم تنفيذ العمليات علي الخوادم المرتبطة إلى الحد الأدنى لمجموعه المستخدمين/السيناريوهات.

استخدام الإجراءات المخزنة الموسعة (sp_addextendedproc)

بما ان الإجراءات المخزنة الموسعة مهمله ، قم بازاله كل استخداماتها ولا تستخدمها في أنظمه الإنتاج.

استخدام xp_cmdshell لاستدعاء الثنائيات من SQL Server

يتم إيقاف تشغيل هذه الميزة بشكل افتراضي. مراجعه كل استخدامات الxp_cmdshell وتقييدها لاستدعاء الثنائيات غير الموثوق بها. يمكنك التحكم في الوصول إلى نقطه النهاية هذه عبر sp_configure ، كما هو موضح هنا:

خيار تكوين xp_cmdshell Server

 

استخدام عناصر COM عبر sp_OACreate

يتم إيقاف تشغيل هذه الميزة بشكل افتراضي. عناصر COM التي يتم استدعاؤها من خلال التعليمات البرمجية لتنفيذ sp_OACreate المثبتة علي الخادم. مراجعه هذه المكالمات للحصول علي الثنائيات غير الموثوق بها. يمكنك التحقق من الإعدادات عبر sp_configure ، كما ديكريبيد هنا:

خيار تكوين خادم إجراءات التنفيذ التلقائي ل Ole

 

هل تحتاج إلى مزيد من المساعدة؟

توسيع المهارات
استكشاف التدريب
الحصول على الميزات الجديدة أولاً
الانضمام إلى Microsoft Insider

هل كانت المعلومات مفيدة؟

نشكرك على ملاحظاتك!

شكراً لك على الملاحظات! يبدو أنه من المفيد إيصالك بأحد وكلاء دعم Office لدينا.

×