KB4073225-הדרכה של SQL Server כדי להגן על נקודות תורפה של "ספקטר, התכה ומיקרו-ארכיטקטוניים של נתונים"

סיכום

Microsoft מודעת לגבי מחלקה חדשה שנחשפה בפומבי של פגיעויות הנקראות התקפות מסוג ' ביצוע ספקולטיבי ', המשפיעות על מעבדים ומערכות הפעלה מודרניים רבים. הדבר כולל את אינטל, AMD והזרוע. הערה בעיה זו משפיעה גם על מערכות אחרות, כגון Android, Chrome, iOS ו-MacOS. לכן, אנו מייעצים ללקוחות לחפש הדרכה מספקים אלה.

Microsoft הפיצה כמה עדכונים כדי לסייע בהפחתת הפגיעויות האלה. אנו נוקטים גם בפעולה כדי לאבטח את שירותי הענן שלנו. עיין בסעיפים הבאים לקבלת מידע נוסף.

Microsoft לא קיבלה מידע כלשהו כדי לציין שפגיעויות אלה שימשו לתקיפת לקוחות בשלב זה. Microsoft ממשיכה לעבוד בשיתוף פעולה הדוק עם שותפים בתעשייה, כולל מקבלי השבבים, יצרני הציוד החומרה וספקי היישומים, כדי להגן על הלקוחות. כדי לקבל את כל ההגנות הזמינות, חומרה או קושחה ועדכוני תוכנה נדרשים. פעולה זו כוללת מיקרו-מכשירים מסוג מכשירים, ובמקרים מסוימים עדכונים לתוכנת אנטי-וירוס. לקבלת מידע נוסף אודות הפגיעויות, ראה מדריך האבטחה המייעצת של ADV180002. לקבלת הנחיות כלליות כדי לצמצם את הפגיעות של כיתה זו, ראה הדרכה להפחתת פגיעויות של ביצוע ספקולציות בערוץ הצד

Microsoft פרסמה ADV190013-הדרכה של microsoft כדי לצמצם את הפגיעויות הMicroarchitectural של דגימת נתונים ב-2019 במאי. ל-SQL Server אין תיקוני אבטחה ספציפיים עבור הבעיה המתוארת ב-ADV190013. באפשרותך למצוא הנחיות לסביבות המושפעות מADV190013 בסעיף ההמלצות של מאמר זה. שים לב שעלון יידוע זה חל רק על מעבדי Intel.

כיצד להשיג ולהתקין את העדכון

עדכון זה זמין גם באמצעות Windows Server update Services (WSUS) או אתר האינטרנט של הקטלוג של Microsoft update.הערה: עדכון זה לא יורד ומותקן באופן אוטומטי באמצעות Windows update.

תיקוני SQL זמינים

במועד הפרסום, הגירסאות המעודכנות הבאות של SQL Server זמינות להורדה:

מהדורת מתן שירות

מסמך זה יעודכן כאשר גירסאות build נוספות של build זמינות.

הערות

הפצנו את כל העדכונים הדרושים עבור SQL Server כדי להקל את הפגיעויות "ספקטר" ו-"התכה" בביצוע הפעולה הספקולציית של ערוץ הצד. Microsoft אינה מודעת לחשיפה נוספת ל-"ספקטר" ו-"התמוטטויות" של נקודות תורפה של ערוץ הביצוע הספקולטיבי עבור רכיבים שאינם מפורטים בסעיף "תיקונים SQL זמינים".
כל הפעולות הבאות של SQL Server 2014, SQL Server 2016 ו-SQL Server 2017 Service Pack והעדכונים המצטברים יכילו את התיקונים. לדוגמה, SQL Server 2016 SP2 כבר מכיל את תיקוני הספקטר וההתכה.
עבור Windows build, עיין בהנחיות הבאות לקבלת המידע העדכני ביותר אודות הגירסאות הזמינות של Windows:

הדרכה של Windows Server עבור פגיעויות ערוץ הקצה של ' ספקטר/התכה '

הדרכה של Windows Server For Microarchitectural Data-פגיעויות לדגימה

עבור linux build, פנה לספק הלינוקס שלך כדי למצוא את הגירסאות העדכניות ביותר לגבי התפלגות הלינוקס הספציפית שלך.
כדי לטפל בנקודות התורפה של הרפאים וההתכה במהירות האפשרית, המסירה של עדכונים אלה של SQL Server התבצעה בתחילה למרכז ההורדות של Microsoft כמודל המסירה הראשי. למרות שעדכונים אלה יישלחו באמצעות Microsoft Update במרץ, אנו ממליצים ללקוחות מושפעים להתקין את העדכון כעת מבלי להמתין להם להיות זמינים באמצעות Microsoft Update.

גירסאות נתמכות של SQL Server המושפעות

Microsoft ממליצה שכל הלקוחות יתקינו את עדכוני SQL Server (המופיעים להלן) כחלק ממחזור התיקונים הרגיל שלהם. לקוחות שפועלים ב-SQL Server בסביבה מאובטחת כאשר נקודות הרחבה נחסמות וכל הקוד של ספק חיצוני שפועל באותו שרת מהימן ומאושר, והוא אינו מושפע מבעיה זו.

לגירסאות הבאות של SQL Server יש עדכונים זמינים כאשר הם פועלים במערכות מעבדים x86 ו-x64:

SQL Server 2008
SQL Server 2008R2
SQL Server 2012
SQL Server 2014
SQL Server 2016
SQL Server 2017

איננו מאמינים ש-IA64 (Microsoft SQL Server 2008) מושפע. שירות הפלטפורמה האנליטית של microsoft (APS) מבוסס על Microsoft SQL Server 2014 או Microsoft SQL Server 2016, אך הוא אינו מושפע באופן ספציפי. הדרכה כללית מסוימת עבור APS מופיעה בהמשך מאמר זה.

המלצות

הטבלה הבאה מתארת מה הלקוחות צריכים לעשות, בהתאם לסביבה שבה פועל SQL Server ובאיזו פונקציונליות נעשה שימוש. Microsoft ממליצה לפרוס תיקונים באמצעות ההליכים הרגילים כדי לבדוק קבצים בינאריים חדשים לפני פריסתם לסביבות ייצור.

מספר תרחיש	תיאור תרחיש	המלצות עדיפות
1	תכלת מסד נתונים ומחסני נתונים של SQL	אין צורך בפעולה (ראה כאן לקבלת פרטים).
2	SQL Server מופעל במחשב פיזי או במחשב וירטואלי ואף אחד מהתנאים הבאים אינו מתקיים: יישום אחר שמבצע קוד עוין שעשוי להיות מתארח במשותף באותו מחשב שימוש בממשקי הרחבה של SQL Server עם קוד לא מהימן (ראה להלן רשימה)	Microsoft ממליצה להתקין את כל עדכוני מערכת ההפעלהלאלהתגונן מפני CVE 2017-5753. Microsoft ממליצה להתקין את כל עדכוני מערכת ההפעלה כדי להגן מפני פגיעויות לדיגום נתונים של Microarchitectural (CVE-2018-12126, cve-2018-12130, CVE-2018-12127 ו-cve-2018-11091). הפיכת האפשרות ' הצללה של כתובות וירטואליות לקרנל ' (KVAS) לבין הפחתת הסיכון לתמיכה בחומרה (IBP) אינה נדרשת (ראה להלן). יש להתקין את המדבקות של SQL Server כחלק ממדיניות התיקון הרגיל של ' תיקון ' בחלון ' עדכון מתוזמן הבא '. באפשרותך להמשיך למנף hyperthreading על מארח כזה.
3	SQL Server מופעל במחשב פיזי או במחשב וירטואלי ויישום אחר שמבצע קוד עוין שעשוי להיות מתארח במשותף באותו מחשב ו/או ממשקי הרחבה של SQL Server נמצאים בשימוש עם קוד לא מהימן (ראה להלן רשימה)	Microsoft ממליצה להתקין את כל עדכוני מערכת ההפעלה כדי להגן מפני CVE 2017-5753. Microsoft ממליצה להתקין את כל עדכוני מערכת ההפעלה כדי להגן מפני פגיעויות לדיגום נתונים של Microarchitectural (CVE-2018-12126, cve-2018-12130, CVE-2018-12127 ו-cve-2018-11091). החלת תיקוני SQL Server (ראה להלן). פעולה זו מגנה מפני CVE 2017-5753. הפעלת צל כתובת וירטואלית של Kernel (KVAS) מומלצת מאוד (ראה להלן). פעולה זו מגנה מפני CVE 2017-5754. מומלץ מאוד להפוך את תמיכת החומרה הקלה של חיזוי הענף לבלתי עקיפ (IBP) מומלצת מאוד (ראה להלן). פעולה זו מגנה מפני CVE 2017-5715 מומלץ להפוך את hyperthreading ללא זמין במחשב המארח אם נעשה שימוש במעבדי Intel.
4	SQL Server מופעל במחשב פיזי ויישום אחר שמבצע הפעלה של קוד שעלול להיות עוין אינו מתארח במשותף באותו מחשב וממשקי הרחבה של SQL Server משמשים לביצוע קוד מהימן. דוגמאות הרכבות CLR שנסקרו/אושרו לשימוש בייצור שרתים מקושרים שאתה נותן אמון בהפעלת שאילתות בדיקה שאתה נותן בהם אמון ללא דוגמאות: קבצי Script של R/פייתון שרירותיים שהורדו מהאינטרנט Uהקבצים הבינאריים של U ntrusted של CLR מספק חיצוני	Microsoft ממליצה להתקין את כל עדכוני מערכת ההפעלהלאלהתגונן מפני CVE 2017-5753. Microsoft ממליצה להתקין את כל עדכוני מערכת ההפעלה כדי להגן מפני פגיעויות לדיגום נתונים של Microarchitectural (CVE-2018-12126, cve-2018-12130, CVE-2018-12127 וcve-2018-11091). הפעלת צל כתובת וירטואלית של Kernel (KVAS) מומלצת מאוד (ראה להלן). פעולה זו מגנה מפני CVE 2017-5754. מומלץ מאוד להפוך את תמיכת החומרה הקלה של חיזוי הענף לבלתי עקיפ (IBP) מומלצת מאוד (ראה להלן). פעולה זו מגנה מפני CVE 2017-5715 אנו ממליצים לנטרל את hyperthreading בסביבה כזאת אם נעשה שימוש במעבדי Intel. יש להתקין את המדבקות של SQL Server כחלק ממדיניות התיקון הרגיל של ' תיקון ' בחלון ' עדכון מתוזמן הבא '.
5	SQL Server מופעל ב-Linux OS.	החל עדכוני מערכת הפעלה של Linux מספק ההפצה. החלת תיקונים של Linux SQL Server (ראה להלן). פעולה זו מגנה מפני CVE 2017-5753. ראה להלן הדרכה לגבי האפשרות אם להפוך את בידוד טבלת דף הקרנל של Linux (KPTI) ו-IBP (CVEs CVE 2017-5754 וcve 2017-5715). אנו ממליצים להפוך את hyperthreading ללא זמין בסביבה כזאת אם המעבדים של אינטל נמצאים בשימוש עבור #3 תרחישים ו#4 שהוזכרו לעיל.
6	מערכת פלטפורמות של ניתוח (APS)	למרות ש-APS אינו תומך בתכונות ההרחבה מ-SQL Server המפורטות בעלון זה, מומלץ להתקין את תיקוני Windows במכשיר APS. הפעלת KVAS/IBP אינה נדרשת.

מדריך לביצועים

לקוחות מומלץ להעריך את הביצועים של היישום הספציפי שלהם כאשר הם מיישמים עדכונים.

Microsoft מייעצת לכל הלקוחות להתקין גירסאות מעודכנות של SQL Server ו-Windows. פעולה זו אמורה לכלול אפקט ביצועים זניח עד מינימלי ביישומים קיימים, בהתבסס על בדיקות Microsoft של עומסי עבודה של SQL. עם זאת, מומלץ לבדוק את כל העדכונים לפני שתפרוס אותם בסביבת ייצור.

Microsoft מודדת את האפקט של הוספת צל של כתובת וירטואלית של Kernel (KVAS), התמצאות מסוג טבלת דף הקרנל (KPTI) ו-indirect של חיזוי הסתעפות (IBP) בעומסי עבודה שונים בסביבות שונות ומצא כמה עומסי עבודה באמצעות השפלה משמעותית. אנו ממליצים לבדוק את אפקט הביצועים של הפעלת תכונות אלה לפני פריסתן בסביבת ייצור. אם אפקט הביצועים של הפיכת תכונות אלה לזמין גבוה מדי עבור יישום קיים, באפשרותך לשקול אם לבודד את SQL Server מקוד לא מהימן הפועל באותו מחשב מהווה הקלה טובה יותר עבור היישום שלך.

מידע נוסף אודות אפקט הביצועים מתוך הפחתת מימוש החומרה של חיזוי הענף העקיף (IBP) מפורט כאן.

Microsoft תעדכן מקטע זה במידע נוסף כאשר הוא יהיה זמין.

הפעלת הצללה של כתובות וירטואליות של Kernel (KVAS ב-Windows) והפניית טבלת דף הקרנל (KPTI ב-Linux)

KVAS ו-KPTI מקלים כנגד CVE 2017-5754, המכונה גם "התכה" או "variant 3" בגילוי GPZ.

SQL Server פועל בסביבות רבות: מחשבים פיזיים, וירטואלית בסביבת ענן ציבוריים ופרטית, במערכות Linux ו-Windows. ללא קשר לסביבה, התוכנית מופעלת במחשב או ב-VM. התקשר לגבולהאבטחה.

אם כל הקוד בגבול מכיל גישה לכל הנתונים בגבול זה, אין צורך בפעולה. אם זה לא המצב, הגבול אמור להיות רב-דייר. הפגיעויות שאותרו מאפשרות לכל קוד, אפילו עם הרשאות מוקטנות, הפועלות בכל תהליך בגבול זה, כדי לקרוא נתונים אחרים בתוך גבול זה. אם קיים תהליך כלשהו בגבול שבו פועל קוד לא מהימן , הוא עשוי להשתמש בפגיעויות אלה כדי לקרוא נתונים מתהליכים אחרים. קוד לא מהימן זה עשוי להיות קוד לא מהימן באמצעות מנגנוני הרחבה של SQL Server או תהליכים אחרים בגבול שבהם פועל קוד לא מהימן.

כדי להגן מפני קוד לא מהימן בגבול רב-דייר, השתמש באחת מהשיטות הבאות

הסר את הקוד לא מהימן. לקבלת מידע נוסף אודות האופן שבו ניתן לעשות זאת עבור מנגנוני הרחבה של SQL Server, ראה להלן. כדי להסיר קוד לא מהימן מיישומים אחרים באותה הגבול, נדרשות בדרך כלל שינויים ספציפיים ליישום. לדוגמה, הפרדה בין שתי וירטואלית.
הפעל את KVAS או KPTI. פעולה זו תכלול אפקט ביצועים. לקבלת מידע נוסף, כפי שתואר קודם לכן במאמר זה.

לקבלת מידע נוסף אודות אופן ההפעלה של KVAS עבור Windows, ראה KB4072698. לקבלת מידע נוסף אודות אופן ההפעלה של KPTI ב-Linux, התייעץ עם מפיץ מערכת ההפעלה שלך.

דוגמה של תרחיש שבו KVAS או KPTI מומלצים מאוד

מחשב פיזי מקומי המארח את SQL Server כחשבון מנהל שאינו מנהל מערכת מאפשר ללקוחות לשלוח סקריפטים של R שרירותי כדי לפעול באמצעות SQL Server (המשתמש בתהליכים משניים להפעלת קבצי script אלה מחוץ ל-sqlservr. exe). יש להפוך את KVAS ו-KPTI לזמינים כדי להתגונן מפני חשיפה של נתונים בתוך תהליך Sqlservr. exe ולהגן מפני חשיפה של נתונים בתוך זיכרון הקרנל של המערכת. הערה מנגנון הרחבה בתוך SQL Server אינו נחשב באופן אוטומטי לבטוח רק מכיוון שהוא נמצא בשימוש. ניתן להשתמש במנגנונים אלה באופן בטוח בתוך SQL Server כל עוד התלות מובנת ומהימנה על-ידי הלקוח. בנוסף, ישנם מוצרים אחרים המוכללים בחלק העליון של SQL שעשויים לדרוש מנגנוני הרחבה כדי לפעול כראוי. לדוגמה, יישום ארוז שנבנה בחלק העליון של SQL Server עשוי לדרוש שגרה מקושרת של שרת או CLR כדי לתפקד כראוי. Microsoft אינה ממליצה להסיר אותם כחלק מההקלה. במקום זאת, סקור כל שימוש כדי לקבוע אם קוד זה מובן ומהימן כפעולה הראשונית. הנחיה זו ניתנת כדי לסייע ללקוחות לקבוע אם הם נמצאים במצב שבו הם צריכים להפוך את KVAS לזמין. הסיבה לכך היא שלפעולה זו יש השלכות ביצועים משמעותיות.

הפיכת תמיכה בחומרה להקלה על חיזוי הענף העקיף (IBP)

IBP מפחיתה כנגד CVE 2017-5715, המכונה גם כמחצית של "ספקטר" או "variant 2" בגילוי GPZ.

ההוראות במאמר זה כדי להפוך את KVAS לזמין ב-Windows גם מאפשרת IBP. עם זאת, IBP גם מחייב עדכון קושחה מיצרן החומרה שלך. בנוסף להוראות ב- KB4072698 כדי לאפשר הגנה ב-Windows, לקוחות יצטרכו להשיג ולהתקין עדכונים מיצרן החומרה שלהם.

דוגמה של תרחיש שבו IBP מומלץ מאוד

מחשב פיזי מקומי מארח את SQL Server לצד יישום המאפשר למשתמשים לא מהימנים להעלות ולבצע קוד JavaScript שרירותי. בהנחה שקיים נתונים חסויים במסד הנתונים של SQL, מומלץ מאוד לIBP כמדד להגנה מפני גילוי מידע של תהליך לתהליך.

במצבים שבהם תמיכה בחומרה של IBP אינה קיימת, Microsoft ממליצה להפריד בין תהליכים לא מהימנים ותהליך מהימן למחשבים פיזיים או מחשבים וירטואליים שונים.

משתמשי Linux: פנה למפיץ מערכת ההפעלה לקבלת מידע על ההגנה מפני משתנה 2 (CVE 2017-5715).

דוגמה לתרחיש שבו מומלץ מאוד להקל על פגיעויות הMicroarchitectural של דגימת נתונים

שקול דוגמה שבה שרת מקומי מפעיל שני מופעים של SQL Server המארחים שני יישומים עסקיים שונים בשני מחשבים וירטואליים שונים באותו מארח פיזי. נניח ששני יישומים עסקיים אלה אינם יכולים להיות מסוגלים לקרוא נתונים המאוחסנים על-פני מופעי SQL Server. תוקף שינצל בהצלחה פגיעויות אלה עשוי להיות מסוגל לקרוא נתונים מיוחסים על-פני גבולות אמון באמצעות קוד לא מהימן הפועל במחשב כתהליך נפרד או קוד לא מהימן שבוצע באמצעות מנגנון הרחבה של SQL Server (ראה סעיף להלן לקבלת אפשרויות הרחבה ב-SQL Server). בסביבות משאבים משותפים (כגון קיימת בתצורות של שירותי ענן מסוימים), פגיעויות אלה עלולות לאפשר למחשב וירטואלי אחד לגשת למידע באופן שאינו תקין מידע אחר. בתרחישים שאינם גולשים במערכות עצמאיות, תוקף זקוק לגישה קודמת למערכת או ליכולת להפעלת יישום בעל מבנה מיוחד במערכת היעד כדי למנף פגיעויות אלה.

מנגנוני הרחבה של SQL Server לא מהימנים

SQL Server מכיל תכונות יכולת הרחבה ומנגנונים רבים. רוב מנגנונים אלה אינם זמינים כברירת מחדל. עם זאת, אנו מייעצים ללקוחות לסקור כל מופע ייצור לשימוש בתכונות הרחבה. אנו ממליצים שכל אחת מהתכונות הללו תוגבל לערכה המינימלית של הקבצים הבינאריים, ושלקוחות מגבילים את הגישה כדי למנוע מקוד שרירותי לפעול באותו מחשב שבו פועל SQL Server. אנו מייעצים ללקוחות לקבוע אם לתת אמון בכל בינארי, ולהפוך ללא זמינים או להסיר קבצים בינאריים לא מהימנים.

הרכבות CLR של SQL
חבילות r ו-פייתון שפועלות באמצעות מנגנון הסקריפטים החיצוניים או הפעלה מתוך סטודיו הלמידה העצמאי של R/Machine באותו מחשב פיזי כמו SQL Server

נקודות יכולת הרחבה של SQL של סוכן פועלות באותו מחשב פיזי שבו פועל SQL Server (קבצי script של ActiveX)
ספקי OLE DB שאינם של Microsoft הנמצאים בשימוש בשרתים מקושרים
פרוצדורות מאוחסנות מורחבות שאינן של Microsoft
אובייקטי COM שבוצעו בתוך השרת (גישה אליהם דרך sp_OACreate)
תוכניות שבוצעו במהלך xp_cmdshell

גורמים מקלים לנקוט אם משתמשים בקוד לא מהימן ב-SQL Server:

תרחיש/שימוש במקרה	מקלים או שלבים מוצעים
הפעלת SQL Server עם CLR זמין (sp_configure ' clr זמין ', 1)	אם הדבר אפשרי, הפוך את CLR ללא זמין ביישום שלך כדי להפחית את הסיכון של קוד לא מהימן שנטען ל-SQL Server (SQL Server 2017 +) אם ה-CLR עדיין נחוץ ביישום שלך, הפוך לזמינה רק הרכבות ספציפיות באמצעות התכונה ' אבטחה קפדנית של CLR ' (אבטחה קפדנית של clr) באמצעות sys.sp_add_trusted_assembly (sys.sp_add_trusted_assembly (Transact-SQL)) שקול אם ניתן להעביר קוד CLR לקוד שווה ל-T-SQL סקירת הרשאות אבטחה כדי לנעול תרחישים שבהם ניתן להשתמש בפעולות מבוססות-CLR. הגבל את יצירת ההרכבה, הרכבת הגישה החיצונית והרשאת ההרכבה הלא בטוחה לקבוצה המינימלית של משתמשים או נתיבי קוד כדי לאסור על טעינה של הרכבות חדשות ביישום קיים שנפרס.
הפעלת קבצי script חיצוניים של Java/R/פיתון מתוך SQL Server (מsp_configure ' סקריפטים חיצוניים ' מופעלים ', 1)	במידת האפשר, הפוך את יכולת הסקריפט החיצונית ללא זמינה אם היא אינה נחוצה ביישום שלך כדי להקטין את שטח התקיפה. (SQL Server 2017 +) במידת האפשר, העברת קבצי script חיצוניים באמצעות הניקוד כדי להשתמש בתכונת הניקוד המקורי במקום זאת (הניקוד המקורי באמצעות הפונקציה חיזוי T-SQL) סקירת הרשאות אבטחה כדי לנעול תרחישים שבהם ניתן להשתמש בסקריפטים חיצוניים. הגבל ביצוע כל הרשאה של SCRIPT חיצוני לקבוצה המינימלית של נתיבי משתמשים/קוד כדי למנוע הפעלה של סקריפטים שרירותיים.
שימוש בשרתים מקושרים (sp_addlinkedserver)	סקור את ספקי OLEDB שהותקנו ושקול להסיר ספקי OLEDB שאינם מהימנים מהמכונה. (הקפד לא להסיר ספקי OLEDB אם הם נמצאים בשימוש מחוץ ל-SQL Server במחשב). דוגמה לגבי אופן הספירה של ספקי OLEDB קיימים: OleDbEnumerator. GetEnumerator שיטה (Type) סקור והסר שרתים מקושרים שאינם נחוצים מ-SQL Server (sp_dropserver) כדי להפחית את האפשרות של קוד לא מהימן שמבוצע בתוך התהליך sqlservr. exe סקירת הרשאות אבטחה כדי לנעול את האפשרות שנה כל הרשאת שרת מקושרת למספר המינימלי של המשתמשים. סקירת מיפויי כניסה/אישורים של שרתים מקושרים (sp_addlinkedsvrlogin/sp_droplinkedsvrlogin) כדי להגביל את המשתמשים שיכולים לבצע פעולות בשרתים מקושרים לקבוצה המינימלית של משתמשים/תרחישים.
שימוש בפרוצדורות מאוחסנות מורחבות (sp_addextendedproc)	כאשר ההליכים המאוחסנים המורחבת אינם זמינים, הסר את כל השימושים של אלה ואין להשתמש בהם במערכות ייצור.
שימוש ב-xp_cmdshell כדי להפעיל קבצים בינאריים מ-SQL Server	תכונה זו מבוטלת כברירת מחדל. סקור והגבל את כל השימוש בxp_cmdshell כדי להפעיל קבצים בינאריים לא מהימנים. באפשרותך לשלוט בגישה לנקודת קצה זו באמצעות sp_configure, כפי שמתואר כאן: אפשרות תצורת השרת xp_cmdshell
שימוש באובייקטי COM באמצעות sp_OACreate	תכונה זו מבוטלת כברירת מחדל. אובייקטי COM המופעלים באמצעות קוד ביצוע sp_OACreate המותקנת בשרת. סקור את כל השיחות האלה עבור קבצים בינאריים לא מהימנים. באפשרותך לבדוק את ההגדרות עד לsp_configure, כפי שניתן לעשות כאן: אפשרות תצורת שרת להליכי אוטומציה של Ole