Zusammenfassung

Microsoft ist eine neue öffentlich gemeldete Klasse von Sicherheitsrisiken bekannt, die als „spekulative ausführungsseitige Channelangriffe“ (Speculative Execution Side-Channel Attacks) bezeichnet werden und viele moderne Prozessoren und Betriebssysteme betreffen. Hierzu zählen Chipsätze von Intel, AMD und ARM.

Hinweis Dieses Problem betrifft auch andere Betriebssysteme wie etwa Android, Chrome, iOS und macOS. Deshalb raten wir Kunden, sich Informationen von den entsprechenden Herstellern einzuholen.

Microsoft hat mehrere Updates veröffentlicht, um das Risiko durch diese Sicherheitsanfälligkeiten zu mindern. Darüber hinaus haben wir Schutzmaßnahmen für unsere Clouddienste ergriffen. Weitere Informationen entnehmen Sie den folgenden Abschnitten.

Microsoft hat aktuell keine Hinweise darauf, dass diese Sicherheitsanfälligkeiten zu Angriffen auf Kunden genutzt wurden. Microsoft arbeitet auch weiterhin eng mit Branchenpartnern einschließlich Chipherstellern, Hardware-OEMs und Anwendungsherstellern zusammen, um Ihren Schutz zu gewährleisten. Für den umfassenden Schutz sind Hardware- oder Firmwareupdates sowie Softwareupdates erforderlich. Dies beinhaltet Microcode von Geräte-OEMs und in manchen Fällen Updates für Antivirensoftware.

Weitere Informationen zu den Sicherheitsrisiken finden Sie in der Microsoft-Sicherheitsempfehlung ADV180002. Allgemeine Anweisungen zum Schutz vor dieser Klasse von Sicherheitsrisiken finden Sie unter Anleitung zum Beheben von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten in Azure

Im Mai 2019 hat Microsoft ADV190013 – Anweisungen von Microsoft zur Risikominderung von Microarchitectural Data Sampling-Sicherheitsanfälligkeiten veröffentlicht. Für SQL Server existiert kein spezifischer Sicherheitspatch für das in ADV190013 beschriebene Problem. Anweisungen für von ADV190013 betroffene Umgebungen finden Sie im Abschnitt „Empfohlene Maßnahmen“ dieses Artikels. Beachten Sie, dass diese Sicherheitsempfehlung nur für Intel-Prozessoren gilt.

Bezug und Installation des Updates

Dieses Update ist auch über Windows Server Update Services (WSUS) oder die Microsoft Update-Katalog-Website verfügbar.

Hinweis: Dieses Update wird von Windows Update nicht automatisch heruntergeladen und installiert.

Verfügbare SQL-Patches

Zum Zeitpunkt der Veröffentlichung sind die folgenden aktualisierten SQL Server-Builds zum Herunterladen verfügbar:

Service Release

4057122 – Hinweise zum Sicherheitsupdate für SQL Server 2017 GDR: 3. Januar 2018
4058562 – Hinweise zum Sicherheitsupdate für SQL Server 2017 RTM CU3: 3. Januar 2018
4058561 – Hinweise zum Sicherheitsupdate für SQL Server 2016 SP1 CU7: 3. Januar 2018
4057118 – Hinweise zum Sicherheitsupdate für SQL Server 2016 GDR SP1: 3. Januar 2018
4058559 – Hinweise zum Sicherheitsupdate für SQL Server 2016 CU: 6. Januar 2018
4058560 – Hinweise zum Sicherheitsupdate für SQL Server 2016 GDR: 6. Januar 2018
4057117 – Hinweise zum Sicherheitsupdate für SQL Server 2014 SP2 CU10: 16. Januar 2018
4057120 – Hinweise zum Sicherheitsupdate für SQL Server 2014 SP2 GDR: 16. Januar 2018
4057116 – Hinweise zum Sicherheitsupdate für SQL Server 2012 SP4 GDR: 12. Januar 2018
4057115 – Hinweise zum Sicherheitsupdate für SQL Server 2012 SP3 GDR: Januar 2018
4057121 – Hinweise zum Sicherheitsupdate für SQL Server 2012 SP3 CU: Januar 2018
4057114 – Hinweise zum Sicherheitsupdate für SQL Server 2008 SP4 GDR: 6. Januar 2018
4057113 – Hinweise zum Sicherheitsupdate für SQL Server 2008 R2 SP3 GDR: 6. Januar 2018

Dieses Dokument wird aktualisiert, wenn weitere aktualisierte Builds verfügbar sind.

Hinweise

  • Wir haben alle erforderlichen Updates für SQL Server veröffentlicht, um das Risiko durch die ausführungsseitigen Channelsicherheitsanfälligkeiten „Spectre“ und „Meltdown“ zu begrenzen. Microsoft sind keine zusätzlichen Risiken durch die ausführungsseitigen Channelsicherheitsanfälligkeiten „Spectre“ und „Meltdown“ für nicht im Abschnitt „Verfügbare SQL-Patches“ aufgelistete Komponenten bekannt.

  • Alle nachfolgenden Service Packs und kumulativen Updates für SQL Server 2014, SQL Server 2016 und SQL Server 2017 enthalten diese Fixes. Beispielsweise enthält SQL Server 2016 SP2 bereits die Fixes für Spectre und Meltdown.

  • Die neuesten Informationen zu verfügbaren Windows-Builds finden Sie im folgenden Leitfaden:

    Leitfaden für Windows Server zum Schutz vor den ausführungsseitigen Channelsicherheitsanfälligkeiten Spectre und Meltdown

    Leitfaden für Windows Server zum Schutz vor Datensampling-Sicherheitsanfälligkeiten in der Mikroarchitektur

    Wenden Sie sich wegen den neuesten aktualisierten Linux-Builds für Ihre spezifische Linux-Distribution an Ihren Linux-Anbieter.

  • Um die Sicherheitsrisiken Spectre und Meltdown so schnell wie möglich zu beheben, wurden diese SQL Server-Updates zunächst primär im Microsoft Download Center bereitgestellt. Obwohl die Updates im März über Microsoft Update bereitgestellt werden, empfehlen wir, wenn Sie betroffen sind, das Update jetzt zu installieren und nicht zu warten, bis es über Microsoft Update verfügbar ist.

Betroffene unterstützte SQL Server-Versionen

Microsoft empfiehlt allen Kunden, im Rahmen ihres regulären Patchzyklus die unten aufgeführten SQL Server-Updates zu installieren.  Wenn Sie SQL Server in einer sicheren Umgebung ausführen, in der Erweiterungspunkte blockiert sind und der gesamte auf dem gleichen Server ausgeführte Drittanbietercode vertrauenswürdig und genehmigt ist, sollten Sie von dem Problem nicht betroffen sein.

Für die folgenden Versionen von SQL Server sind Updates verfügbar, wenn die Versionen auf Systemen mit x86- oder x64-Prozessor ausgeführt werden:

  • SQL Server 2008

  • SQL Server 2008 R2

  • SQL Server 2012

  • SQL Server 2014

  • SQL Server 2016

  • SQL Server 2017

Wir gehen nicht davon aus, dass IA64 (Microsoft SQL Server 2008) betroffen ist. Microsoft Analytic Platform Service (APS) basiert auf Microsoft SQL Server 2014 oder Microsoft SQL Server 2016, ist aber nicht ausdrücklich betroffen. Einige allgemeine Anweisungen für APS finden Sie weiter unten in diesem Artikel.

Empfehlungen

Die folgende Tabelle beschreibt, was Sie abhängig von der Umgebung, in der SQL Server ausgeführt wird, und den verwendeten Funktionen tun sollten. Microsoft empfiehlt, Korrekturen mithilfe der regulären Verfahren zum Testen von neuen Binärdateien vor der Bereitstellung in Produktionsumgebungen bereitzustellen.

Nummer des Szenarios

Beschreibung des Szenarios

Prioritätsempfehlungen

1

Azure SQL-Datenbank und Data Warehouse

Keine Schritte erforderlich (ausführliche Informationen finden Sie hier).

2

SQL Server wird auf einem physischen oder virtuellen Computer ausgeführt,

UND keine der folgenden Bedingungen trifft zu:

  • Auf dem gleichen Computer wird eine andere Anwendung gehostet, die potenziell feindlichen Code ausführt.

  • SQL Server-Erweiterungsschnittstellen werden mit nicht vertrauenswürdigem Code verwendet (Liste siehe unten)

 

Microsoft empfiehlt, alle Betriebssystemupdates zu installieren, um sich vor CVE 2017-5753 zu schützen.

Microsoft empfiehlt, alle Betriebssystemupdates zu installieren, um sich vor Datensampling-Sicherheitsanfälligkeiten in der Mikroarchitektur zu schützen (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 und CVE-2018-11091).

Die Aktivierung von Kernel Virtual Address Shadowing (KVAS) und der Hardwareunterstützung zur Risikominderung für Indirect Branch Prediction (IBP) ist nicht erforderlich (siehe unten).

SQL Server-Patches sollten im Rahmen der normalen Patchrichtlinie im nächsten geplanten Updatefenster installiert werden.

Auf diesen Hosts können Sie weiterhin Hyperthreading verwenden.

3

SQL Server wird auf einem physischen oder virtuellen Computer ausgeführt,

UND auf dem gleichen Computer wird eine andere Anwendung gehostet, die potenziell feindlichen Code ausführt,

UND/ODER SQL Server-Erweiterungsschnittstellen werden mit nicht vertrauenswürdigem Code verwendet (Liste siehe unten)

 

 

 

Microsoft empfiehlt, alle Betriebssystemupdates zu installieren, um sich vor CVE 2017-5753 zu schützen.

Microsoft empfiehlt, alle Betriebssystemupdates zu installieren, um sich vor Datensampling-Sicherheitsanfälligkeiten in der Mikroarchitektur zu schützen (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 und CVE-2018-11091).

Wenden Sie SQL Server-Patches an (siehe unten). Dies bietet Schutz vor CVE 2017-5753.

Die Aktivierung von Kernel Virtual Address Shadowing (KVAS) wird dringend empfohlen (siehe unten). Dies bietet Schutz vor CVE 2017-5754.

Die Aktivierung der Hardwareunterstützung zur Risikominderung für Indirect Branch Prediction (IBP) wird dringend empfohlen (siehe unten). Dies bietet Schutz vor CVE 2017-5715.

Wir empfehlen, Hyperthreading auf dem Host zu deaktivieren, falls Sie Intel-Prozessoren verwenden.

4

SQL Server wird auf einem physischen Computer ausgeführt,

UND auf dem gleichen Computer wird keine andere Anwendung gehostet, die potenziell feindlichen Code ausführt,

UND es WERDEN SQL Server-Erweiterungsschnittstellen verwendet, um VERTRAUENSWÜRDIGEN Code auszuführen.

Beispiele: 

  • CLR-Assemblys, die im Hinblick auf die Verwendung in der Produktion überprüft/genehmigt wurden

  • Vertrauenswürdige Verbindungsserver, auf denen überprüfte vertrauenswürdige Abfragen ausgeführt werden

Gegenbeispiele:

  • Beliebige aus dem Internet heruntergeladene R-/Python-Skripts

  • Nicht vertrauenswürdige CLR-Binärdateien eines Drittanbieters

Microsoft empfiehlt, alle Betriebssystemupdates zu installieren, um sich vor CVE 2017-5753 zu schützen.

Microsoft empfiehlt, alle Betriebssystemupdates zu installieren, um sich vor Datensampling-Sicherheitsanfälligkeiten in der Mikroarchitektur zu schützen (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 und CVE-2018-11091).

Die Aktivierung von Kernel Virtual Address Shadowing (KVAS) wird dringend empfohlen (siehe unten). Dies bietet Schutz vor CVE 2017-5754.

Die Aktivierung der Hardwareunterstützung zur Risikominderung für Indirect Branch Prediction (IBP) wird dringend empfohlen (siehe unten). Dies bietet Schutz vor CVE 2017-5715.

Wir empfehlen, Hyperthreading in der Umgebung zu deaktivieren, falls Sie Intel-Prozessoren verwenden.

SQL Server-Patches sollten im Rahmen der normalen Patchrichtlinie im nächsten geplanten Updatefenster installiert werden.

5

SQL Server wird unter dem Linux-Betriebssystem ausgeführt.

Wenden Sie Linux-Betriebssystemupdates Ihres Anbieters an.

Wenden Sie SQL Server-Patches für Linux an (siehe unten). Dies bietet Schutz vor CVE 2017-5753.

Hinweise, ob Linux Kernel Page Table Isolation (KPTI) und IBP aktiviert werden sollten, finden Sie weiter unten (CVE 2017-5754 und CVE 2017-5715).

Für die oben beschriebenen Szenarien 3 und 4 empfehlen wir, Hyperthreading in der Umgebung zu deaktivieren, falls Sie Intel-Prozessoren verwenden.

6

Analytics Platform System (APS)

APS unterstützt zwar die in diesem Sicherheitsbulletin aufgeführten Erweiterungsfunktionen von SQL Server nicht, aber es wird empfohlen, die Windows-Patches in der APS-Appliance zu installieren. Die Aktivierung von KVAS/IBP ist nicht erforderlich.

Empfehlungen zur Leistung

Sie sollten beim Anwenden von Patches die Leistung Ihrer spezifischen Anwendung evaluieren.

Microsoft empfiehlt allen Kunden, aktualisierte Versionen von SQL Server und Windows zu installieren. Basierend auf von Microsoft durchgeführten Tests von SQL-Arbeitsauslastungen sollte dies unerhebliche bis minimale Auswirkungen auf die Leistung vorhandener Anwendungen haben. Sie sollten jedoch alle Updates vor der Bereitstellung in einer Produktionsumgebung testen.

Microsoft hat die Auswirkungen von Kernel Virtual Address Shadowing (KVAS), Kernel Page Table Isolation (KPTI) und der Risikominderung für Indirect Branch Prediction (IBP) auf verschiedene SQL-Arbeitsauslastungen in unterschiedlichen Umgebungen gemessen und dabei bei einigen Arbeitsauslastungen erhebliche Beeinträchtigungen festgestellt. Es wird empfohlen, die Auswirkung der Aktivierung dieser Funktionen auf die Leistung zu testen, bevor Sie sie in einer Produktionsumgebung bereitstellen. Wenn die Leistungsbeeinträchtigung aufgrund der Aktivierung dieser Funktionen für eine vorhandene Anwendung zu groß ist, können Sie sich überlegen, ob es für Ihre Anwendung eine bessere Risikominderung darstellt, SQL Server von nicht vertrauenswürdigem Code zu isolieren, der auf dem gleichen Computer ausgeführt wird.

Weitere Informationen zu Leistungsauswirkungen aufgrund der Hardwareunterstützung zur Risikominderung für Indirect Branch Prediction (IBP) finden Sie hier.

Microsoft wird diesen Abschnitt mit weiteren Informationen aktualisieren, sobald sie verfügbar sind.

Aktivieren von Kernel Virtual Address Shadowing (KVAS) unter Windows und Kernel Page Table Isolation (KPTI) unter Linux

KVAS und KPTI ermöglichen die Risikominderung für CVE 2017-5754, auch bekannt als „Meltdown“ oder „Variante 3“ in der GPZ-Veröffentlichung.

SQL Server wird in vielen Umgebungen ausgeführt: physische Computer, VMs in Umgebungen mit öffentlichen und privaten Clouds sowie Linux- und Windows-Systeme. Ungeachtet der Umgebung wird das Programm auf einem Computer oder in einer VM ausgeführt. Dies wird als Sicherheitsbegrenzung bezeichnet.

Wenn der gesamte Code innerhalb der Begrenzung Zugriff auf alle Daten innerhalb dieser Begrenzung hat, sind keine Schritte erforderlich. Wenn dies nicht der Fall ist, wird die Begrenzung als mehrinstanzenfähig bezeichnet. Die gefundenen Sicherheitsanfälligkeiten ermöglichen es, dass beliebiger Code, der selbst mit reduzierten Berechtigungen in einem beliebigen Prozess innerhalb dieser Sicherheitsbegrenzung ausgeführt wird, alle anderen Daten innerhalb dieser Sicherheitsbegrenzung lesen kann. Wenn ein Prozess innerhalb der Sicherheitsbegrenzung nicht vertrauenswürdigen Code ausführt, könnte er mithilfe dieser Sicherheitsanfälligkeiten Daten aus anderen Prozessen lesen. Bei diesem nicht vertrauenswürdigen Code könnte es sich um nicht vertrauenswürdigen Code handeln, der SQL Server-Erweiterungsmechanismen verwendet, oder um andere Prozesse innerhalb der Begrenzung, die nicht vertrauenswürdigen Code ausführen.

Zum Schutz vor nicht vertrauenswürdigem Code in einer mehrinstanzenfähigen Begrenzung verwenden Sie eine der folgenden Methoden:

  • Entfernen Sie den nicht vertrauenswürdigen Code. Weitere Informationen zur Vorgehensweise für SQL Server-Erweiterungsmechanismen finden Sie weiter unten. Zum Entfernen von nicht vertrauenswürdigem Code aus anderen Anwendungen innerhalb der gleichen Begrenzung sind gewöhnlich anwendungsspezifische Änderungen erforderlich, z. B. das Aufteilen in zwei VMs.

  • Aktivieren Sie KVAS oder KPTI. Dies hat Auswirkungen auf die Leistung. Weitere Informationen finden Sie weiter oben in diesem Artikel.

Weitere Informationen zum Aktivieren von KVAS für Windows finden Sie unter KB4072698. Weitere Informationen zum Aktivieren von KPTI unter Linux erhalten Sie vom Händler Ihres Betriebssystems.

Ein Beispielszenario, für das KVAS/KPTI dringend empfohlen wird

Ein lokaler physischer Computer, der SQL Server unter einem anderen als dem Systemadministratorkonto hostet, ermöglicht die Übermittlung beliebiger R-Skripts zur Ausführung über SQL Server. (Dabei werden sekundäre Prozesse zum Ausführen dieser Skripts außerhalb von „sqlservr.exe“ verwendet.) Die Aktivierung von KVAS/KPTI ist erforderlich, um Schutz vor der Offenlegung von Daten innerhalb des Prozesses „sqlservr.exe“ sowie Schutz vor der Offenlegung von Daten innerhalb des Kernelspeichers des Systems zu bieten.

Hinweis Ein Erweiterungsmechanismus innerhalb von SQL Server gilt nicht nur deshalb automatisch als unsicher, weil er verwendet wird. Diese Mechanismen können in SQL Server sicher verwendet, vorausgesetzt alle Abhängigkeiten sind für den Kunden nachvollziehbar und vertrauenswürdig. Darüber hinaus gibt es andere Produkte, die auf SQL basieren und nur mit Erweiterungsmechanismen ordnungsgemäß funktionieren. Beispielsweise könnte ein Anwendungspaket, das auf SQL Server basiert, einen Verbindungsserver oder eine CLR-gespeicherte Prozedur benötigen, um ordnungsgemäß zu funktionieren.

Microsoft rät davon ab, diese Komponenten im Rahmen der Risikominderung zu entfernen. Überprüfen Sie stattdessen als erster Schritt die jeweilige Verwendung, um festzustellen, ob dieser Code nachvollziehbar und vertrauenswürdig ist. Mithilfe dieser Anweisungen können Sie bestimmen, ob Sie KVAS aktivieren müssen. Der Grund ist, dass diese Maßnahme erhebliche Auswirkungen auf die Leistung hat.

Aktivieren der Hardwareunterstützung zur Risikominderung für Indirect Branch Prediction (IBP)

IBP ermöglicht die Risikominderung für CVE 2017-5715, auch bekannt als eine Hälfte von Spectre oder „Variante 2“ in der GPZ-Veröffentlichung.

Mit den in diesem Artikel beschriebenen Anweisungen zum Aktivieren von KVAS unter Windows wird auch IBP aktiviert. Für IBP ist jedoch auch ein Firmwareupdate Ihres Hardwareherstellers erforderlich. Zusätzlich zu den Anweisungen in KB4072698, die den Schutz unter Windows ermöglichen, müssen Sie Updates von Ihrem Hardwarehersteller beziehen und installieren.

Ein Beispielszenario, für das IBP dringend empfohlen wird

Ein lokaler physischer Computer hostet SQL Server zusammen mit einer Anwendung, mit der nicht vertrauenswürdige Benutzer beliebigen JavaScript-Code hochladen und ausführen können. Wenn in der SQL-Datenbank vertrauliche Daten vorhanden sind, wird IBP dringend empfohlen, um Schutz vor der Offenlegung von Informationen zwischen Prozessen zu bieten.

In Situationen, in denen die IBP-Hardwareunterstützung nicht vorhanden ist, empfiehlt Microsoft, nicht vertrauenswürdige und vertrauenswürdige Prozesse auf unterschiedliche physische oder virtuelle Computer zu verteilen.

Linux-Benutzer: Wenden Sie sich wegen Informationen zum Schutz vor Variante 2 (CVE 2017-5715) an den Händler Ihres Betriebssystems.

Ein Beispielszenario, in dem Schutzmaßnahmen vor Datensampling-Sicherheitsanfälligkeiten in der Mikroarchitektur dringend empfohlen werden

Stellen Sie sich einen lokalen Server vor, auf dem zwei Instanzen von SQL Server mit zwei verschiedenen Geschäftsanwendungen in zwei verschiedenen virtuellen Computern auf demselben physischen Host ausgeführt werden. Angenommen, diese zwei Geschäftsanwendungen sollen die Daten in der jeweils anderen SQL Server-Instanz nicht lesen können. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann möglicherweise geschützte Daten über Vertrauensstellungsgrenzen hinweg lesen, indem er nicht vertrauenswürdigen Code auf dem Computer als separaten Prozess ausführt, oder indem er nicht vertrauenswürdigen Code mit einem SQL Server-Erweiterbarkeitsmechanismus ausführt (siehe unten für Erweiterbarkeitsoptionen in SQL Server). In Umgebungen mit gemeinsam genutzten Ressourcen (z. B. in manchen Cloud Services-Konfigurationen) könnte ein virtueller Computer mithilfe dieser Sicherheitsanfälligkeit missbräuchlich auf Informationen auf einem anderen virtuellen Computer zugreifen. In anderen als webbasierten Szenarien auf eigenständigen Systemen würde ein Angreifer vorher Zugriff auf das System benötigen oder müsste eine speziell gestaltete Anwendung im Zielsystem ausführen können, um diese Sicherheitsanfälligkeiten ausnutzen zu können.

Nicht vertrauenswürdige SQL Server-Erweiterungsmechanismen

SQL Server enthält viele Erweiterungsfeatures und -mechanismen. Die meisten dieser Mechanismen sind standardmäßig deaktiviert. Wir raten Ihnen jedoch, die einzelnen Produktionsinstanzen auf die Verwendung von Erweiterungsfeatures zu überprüfen. Wir empfehlen, alle diese Features auf die unbedingt erforderlichen Binärdateien zu begrenzen. Außerdem sollten Sie den Zugriff darauf beschränken, um zu verhindern, dass beliebiger Code auf dem gleichen Computer wie SQL Server ausgeführt wird. Wir raten Ihnen, zu ermitteln, ob die einzelnen Binärdateien vertrauenswürdig sind, und nicht vertrauenswürdige Binärdateien zu deaktivieren oder zu entfernen.

  • SQL CLR-Assemblys

  • R- und Python-Pakete, die über externe Skriptmechanismen ausgeführt werden oder die vom eigenständigen R/Machine Learning Studio auf dem gleichen physischen Computer wie SQL Server ausgeführt werden

  • SQL Agent-Erweiterungspunkte, die auf dem gleichen physischen Computer wie SQL Server ausgeführt werden (ActiveX-Skripts)

  • OLE DB-Anbieter (nicht Microsoft), die in Verbindungsservern verwendet werden

  • Erweiterte gespeicherte Prozeduren (nicht Microsoft)

  • COM-Objekte, die innerhalb des Servers ausgeführt werden (Zugriff über „sp_OACreate“)

  • Programme, die über „xp_cmdshell“ ausgeführt werden

Zu ergreifende Schadensbegrenzungsmaßnahmen bei Verwendung von nicht vertrauenswürdigem Code in SQL Server:

Szenario/Anwendungsfall

Risikominderungsmaßnahmen oder vorgeschlagene Schritte

Ausführung von SQL Server mit aktivierter CLR (sp_configure 'clr enabled', 1)

  1. Deaktivieren Sie nach Möglichkeit CLR, wenn dies in Ihrer Anwendung nicht benötigt wird. Dadurch verringern Sie die Gefahr, dass nicht vertrauenswürdiger Code in SQL Server geladen wird.

  1. (SQL Server 2017+) Wenn CLR in Ihrer Anwendung benötigt wird, aktivieren Sie, dass nur spezifische Assemblys mithilfe des “CLR Strict Security”-Features geladen werden (CLR strict security) unter Verwendung von sys.sp_add_trusted_assembly (sys.sp_add_trusted_assembly (Transact-SQL))

  1. Überlegen Sie, ob CLR-Code zu T-SQL-äquivalentem Code migriert werden kann.

  1. Überprüfen Sie Sicherheitsberechtigungen, um Szenarien zu beschränken, in denen CLR-basierte Vorgänge verwendet werden können. Begrenzen Sie die Berechtigungen CREATE ASSEMBLY, EXTERNAL ACCESS ASSEMBLY und UNSAFE ASSEMBLY auf die unbedingt erforderlichen Benutzer oder Codepfade, um das Laden neuer Assemblys in eine vorhandene bereitgestellte Anwendung zu verhindern.

Ausführen von externen Java/R/Python-Skripten von SQL Server aus (sp_configure 'external scripts enabled', 1)

  1. Falls möglich, deaktivieren Sie die externe Skriptfunktion, falls diese in Ihrer Anwendung nicht benötigt wird, um die Angriffsfläche zu verringern.

  1. (SQL Server 2017+) Wenn möglich, migrieren Sie externe Skripte, die eine Bewertung durchführen, um stattdessen das native Feature für die Bewertung zu verwenden (Native Bewertung mithilfe der PREDICT-T-SQL-Funktion mit SQL Machine Learning)

  1. Überprüfen Sie Sicherheitsberechtigungen, um Szenarios zu beschränken, in denen externe Skripte verwendet werden können. Begrenzen Sie die Berechtigung EXECUTE ANY EXTERNAL SCRIPT auf die unbedingt erforderlichen Benutzer/Codepfade, um die Ausführung beliebiger Skripts nicht zuzulassen.

Verwendung von Verbindungsservern (sp_addlinkedserver)

  1. Überprüfen Sie installierte OLEDB-Anbieter, und entfernen Sie möglicherweise nicht vertrauenswürdige OLEDB-Anbieter von der Maschine. (Achten Sie darauf, dass Sie keine OLEDB-Anbieter entfernen, die außerhalb von SQL Server auf der Maschine verwendet werden.) Ein Beispiel zur Aufzählung vorhandener OLEDB-Anbieter finden Sie hier: OleDbEnumerator.GetEnumerator-Methode (Type)

  1. Überprüfen und entfernen Sie alle unnötigen Verbindungsserver in SQL Server (sp_dropserver), um die Wahrscheinlichkeit der Ausführung von nicht vertrauenswürdigem Code im sqlservr.exe-Prozess zu reduzieren.

  1. Überprüfen Sie die Sicherheitsberechtigungen, um die Berechtigung ALTER ANY LINKED SERVER auf die unbedingt erforderlichen Benutzer zu beschränken.

  1. Überprüfen Sie Zuordnungen verknüpfter Server/Anmeldeinformationen (sp_addlinkedsvrlogin/sp_droplinkedsvrlogin), um die Ausführung von Operationen über verknüpfte Server auf die unbedingt erforderlichen Benutzer/Szenarios zu begrenzen.

Verwendung erweiterter gespeicherter Prozeduren (sp_addextendedproc)

Da erweiterte gespeicherte Prozeduren eingestellt werden, entfernen Sie alle Verwendungsinstanzen, und verwenden Sie sie nicht in Produktionssystemen.

Verwendung von xp_cmdshell zum Aufrufen von Binärdateien in SQL Server

Dieses Feature ist standardmäßig deaktiviert. Prüfen und beschränken Sie die Verwendung von xp_cmdshell zum Aufrufen von nicht vertrauenswürdigen Binärdateien. Den Zugriff auf diesen Endpunkt können Sie wie hier beschrieben über „sp_configure“ steuern:

xp_cmdshell (Serverkonfigurationsoption)

 

Verwendung von COM-Objekten über sp_OACreate

Dieses Feature ist standardmäßig deaktiviert. COM-Objekte, die über „sp_OACreate“ aufgerufen werden, führen auf dem Server installierten Code aus. Prüfen Sie alle derartigen Aufrufe für nicht vertrauenswürdige Binärdateien. Die Einstellungen können Sie wie hier beschrieben über „sp_configure“ überprüfen:

OLE-Automatisierungsprozeduren (Serverkonfigurationsoption)

 

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?

Vielen Dank für Ihr Feedback!

×