Prisijunkite prie „Microsoft“
Prisijunkite arba sukurkite paskyrą.
Sveiki,
Pasirinkti kitą paskyrą.
Turite kelias paskyras
Pasirinkite paskyrą, kurią naudodami norite prisijungti.

Suvestinė

"Microsoft" žino apie naują viešai atskleistą klasės pažeidžiamumą, vadinamą "spekuliatyvaus įvykdymo šalutinio kanalo atakų", kurie turi įtakos daugeliui modernių procesorių ir operacinių sistemų. Tai yra "Intel", AMD ir ARM. Pastaba Ši problema taip pat veikia kitose sistemose, pvz., "Android", "Chrome", "iOS" ir "MacOS". Todėl patariame klientams ieškoti rekomendacijų.

"Microsoft" išleido keletą naujinimų, padėsiančių sušvelninti šiuos pažeidžiamumus. Taip pat ėmėme veiksmų, kad apsaugotume mūsų debesies paslaugas. Daugiau informacijos ieškokite tolesniuose skyriuose.

"Microsoft" negavo jokios informacijos, nurodančios, kad šiuo metu buvo naudojamos vartotojų atakos. "Microsoft" toliau glaudžiai bendradarbiauja su pramonės partneriais, įskaitant žetonų kūrėjus, aparatūros OĮG ir taikomųjų programų tiekėjus, kad apsaugotų klientus. Norėdami gauti visas galimas apsaugos priemones, reikia aparatūros arba programinės įrangos ir programinės įrangos naujinių. Tai yra microcode iš įrenginio OĮG ir, kai kuriais atvejais, antivirusinės programinės įrangos naujinimai. Daugiau informacijos apie pažeidžiamumą rasite "Microsoft" saugos konsultavimo ADV180002. Jei reikia bendrų nurodymų, kaip sušvelninti šią pažeidžiamumo klasę, žiūrėkite rekomendacijos, kaip sušvelninti "spekuliacinis" įvykdymo šoninio kanalo pažeidžiamumą

"Microsoft" publikuota ADV190013 – "Microsoft" instrukcijos, kaip sušvelninti Mikroarchitektūros duomenų mėginių ėmimo pažeidžiamumą gegužės 2019. "SQL Server" nėra jokių konkrečių problemų, aprašytų "ADV190013", saugos pataisų. Šiame straipsnyje pateiktų rekomendacijų sekcijoje galite ieškoti patarimų, kaip naudoti "ADV190013" aplinkai. Atminkite, kad ši patariamoji nuostata taikoma tik "Intel" procesoriams.

Kaip gauti ir įdiegti naujinimą

Šis naujinys taip pat pasiekiamas "Windows Server" naujinimo tarnybose (WSUS) arba "Microsoft Update" katalogosvetainėje.Pastaba: Šis naujinimas nebus atsiųstas ir įdiegtas automatiškai naudojant "Windows Update".

Galimos SQL pataisos

Publikavimo metu galima atsisiųsti šiuos atnaujintus SQL serverio komponavimo versijas:

Priežiūros leidimas

"4057122" SQL Server 2017 GDR saugos naujinimo aprašas: sausio 3 d. 2018 4058562 saugos naujinimo, skirto SQL serverio 2017 RTM CU3: sausio 3 d., 2018 4058561 "SQL Server 2016 SP1 CU7" saugos naujinimo aprašas: 3 sausis, 2018 4057118 "SQL Server", 2016 GDR SP1 saugos naujinimo aprašas: sausio3 d., 2018 4058559 "SQL Server 2016 CU" saugos naujinimo aprašas: 6 sausis 20184058560 "SQL server" 2016 GDR saugos naujinimo aprašas: 6 sausis, 2018 4057117 "SQL Server", skirto "SQL Server" SP2 CU10: sausio 16, 20142018 saugos naujinimo aprašas, skirtas "SQL Server": 2018 sausio 12d., 4057115 saugos naujinimo, skirto "SQL server 2012 SP3" GDR: sausio, 2018 4057121 "SQL Server"SP3 CU: January, 20122018 saugos naujinimo "SQL Server" 4057114 SP4 gdrapibūdinimas: sausio 6, 2008 2018 "SQL Server 4057113 R2" saugos naujinimo aprašas: 6, 2008

Šis dokumentas bus atnaujintas, kai bus galima naudoti papildomus atnaujintus komponavimo versijas.

Pastabos

  • Mes išleidome visus reikalingus naujinimus, skirtus "SQL Server", kad sumažintume "Spectre" ir "krizės" spekuliacinis įvykdymo kanalo pažeidžiamumą. "Microsoft" nežino jokio papildomo poveikio "Spectre" ir "Melt" spekuliacinių įvykdymo pusės kanalo pažeidžiamumai komponentų, kurie nėra nurodyti skyriuje "galimos SQL pataisos".

  • Visi vėlesni SQL serverio 2014, "SQL Server" 2016 ir "SQL Server 2017" paslaugų paketai ir kaupiamieji naujinimai bus taisymai. Pvz., SQL serverio 2016 SP2 jau yra Spectre ir Melcdown pataisymai.

  • Jei naudojate "Windows" komponavimo versijas, Peržiūrėkite naujausią informaciją apie galimus "Windows" komponavimo versijas:

    "Windows Server" gairės, skirtos Spectre/Meltonu šoninės kanalo pažeidžiamumai

    "Windows Server" rekomendacijos dėl Mikroarchitektūros duomenų mėginių ėmimo pažeidžiamumo

    Jei turite "Linux" komponavimo versijas, susisiekite su "Linux" tiekėju ir raskite naujausius atnaujintus komponavimo versijas, skirtas konkrečiam "Linux" platinimui.

  • Jei norite kuo greičiau adresuoti Spectre ir krizės pažeidžiamumus, šių SQL serverio naujinimų pristatymas iš pradžių buvo pateiktas "Microsoft" atsisiuntimo centre kaip pirminis pristatymo modelis. Nors šie naujinimai bus pateikti per "Microsoft Update" kovo mėnesį, rekomenduojame, kad susiję klientai įdiegs naujinimą dabar nelaukiant, kol jie taps pasiekiami naudojant "Microsoft Update".

Palaikomos SQL serverio versijos, kurios turi įtakos

"Microsoft" rekomenduoja visiems klientams įdiegti "SQL Server" naujinimus (išvardytus toliau) kaip jų įprasto pataisų ciklo dalį.  Klientai, kurie naudoja "SQL Server" saugioje aplinkoje, kurioje yra blokuojami taškai ir visi trečiosios šalies kodai, vykdomi tame pačiame serveryje, yra patikimi ir patvirtinti neturi įtakos šiai problemai.

Toliau nurodytos "SQL Server" versijos turi galimus naujinimus, kai jie veikia x86 ir x64 procesorių sistemose:

  • SQL serverio 2008

  • "SQL Server 2008R2"

  • SQL serverio 2012

  • SQL serverio 2014

  • SQL serverio 2016

  • SQL serverio 2017

Nemanome, kad "IA64" ("Microsoft SQL Server 2008") veikia. "Microsoft" analitinės platformos tarnyba (APS) pagrįsta "Microsoft SQL Server" 2014 arba "Microsoft SQL Server 2016", tačiau ji nėra konkrečiai paveikta. Toliau šiame straipsnyje pateikta keletas bendrų rekomendacijų MPS.

Rekomendacijas

Toliau pateiktoje lentelėje nusakoma, ką Klientai turėtų atlikti, atsižvelgiant į aplinką, kurioje veikia "SQL Server" ir kokios funkcijos naudojamos. "Microsoft" rekomenduoja įdiegti pataisymus naudojant įprastas procedūras, kad galėtumėte išbandyti naujus dvejetainius failus prieš diegdami juos gamybos aplinkoje.

Scenarijaus numeris

Scenarijaus aprašas

Prioritetinės rekomendacijos

1

"Azure SQL" duomenų bazė ir duomenų saugykla

Nereikia atlikti jokių veiksmų (daugiau informacijos ieškokite čia ).

2

"SQL Server" veikia fiziniame kompiuteryje arba virtualiojoje mašinoje

IR nė viena iš šių sąlygų yra teisinga:

  • Kita taikomoji programa, kuri vykdo galimai priešišką kodą, yra bendrai Patalpinta tame pačiame kompiuteryje

  • "SQL Server" išplečiamumo sąsajos naudojamos su nepatikimu kodu (peržiūrėkite toliau pateiktą sąrašą)

 

"Microsoft" rekomenduoja įdiegti visus OS naujinimus to apsaugoti nuo CVE 2017-5753.

"Microsoft" rekomenduoja įdiegti visus OS naujinimus , kad būtų apsaugotos nuo Mikroarchitektūros duomenų mėginių ėmimo pažeidžiamumo (CVE-2018-12126, CVE-2018-12130, cve-2018-12127 ir CVE-2018-11091).

Branduolio virtualiojo adreso šešėliai (KVAS) ir netiesioginių filialų prognozės mažinimas aparatūros palaikymas ("IBP") nėra būtinas (žiūrėkite žemiau). "SQL Server" pleistrus reikia įdiegti kaip įprastos pataisų strategijos dalį paskesniame suplanuotame atnaujinimo lange.

Galite toliau naudoti "Hyper" dėl tokio pagrindinio kompiuterio.

3

"SQL Server" veikia fiziniame kompiuteryje arba virtualiojoje mašinoje

IR kita taikomoji programa, kuri vykdo galimai priešišką kodą, yra bendrai Patalpinta tame pačiame kompiuteryje

IR (arba) SQL serverio išplečiamumo sąsajos naudojamos su nepatikimu kodu (žiūrėkite žemiau sąrašą)

 

 

 

"Microsoft" rekomenduoja įdiegti visus OS naujinimus , kad būtų apsaugotos nuo cve 2017-5753.

"Microsoft" rekomenduoja įdiegti visus OS naujinimus , kad būtų apsaugotos nuo Mikroarchitektūros duomenų mėginių ėmimo pažeidžiamumo (CVE-2018-12126, CVE-2018-12130, cve-2018-12127 ir CVE-2018-11091).

Pritaikykite SQL serverio pataisymus (žiūrėkite toliau). Tai apsaugo nuo CVE 2017-5753.

"Kernel Virtual Address" stebėjimas (KVAS) primygtinai rekomenduojamas (žiūrėti toliau). Tai apsaugo nuo CVE 2017-5754.

Primygtinai rekomenduojama (žiūrėti toliau), kad būtų įgalintas netiesioginių filialų prognozės mažinimas aparatūros palaikymo tarnyba Tai apsaugo nuo CVE 2017-5715

Rekomenduojame išjungti hipersaitą pagrindiniame kompiuteryje, jei naudojami "Intel" procesoriai.

4

"SQL Server" veikia fiziniame kompiuteryje

IR kita programa, kuri vykdo galimai priešišką kodą, nėra bendrai Patalpinta tame pačiame kompiuteryje

IR "SQL Server" išplečiamumo sąsajos naudojamos norint vykdyti patikimą kodą. Pavyzdžiai 

  • CLR rinkiniai, kurie buvo peržiūrėti/patvirtinti naudoti gamyboje

  • Susietieji serveriai, kuriuose pasitikite patikrintas užklausas, kurias pasitikite

Ne pavyzdžiai:

  • Savavališkus R/Python scenarijus atsisiųsti iš interneto

  • Unpatikimi CLR dvejetainės iš trečiosios šalies

"Microsoft" rekomenduoja įdiegti visus OS naujinimus to apsaugoti nuo CVE 2017-5753.

"Microsoft" rekomenduoja įdiegti visus OS naujinimus , kad būtų apsaugotos nuo Mikroarchitektūros duomenų mėginių ėmimo pažeidžiamumo (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 ir CVE-2018-11091).

"Kernel Virtual Address" stebėjimas (KVAS) primygtinai rekomenduojamas (žiūrėti toliau). Tai apsaugo nuo CVE 2017-5754.

Primygtinai rekomenduojama (žiūrėti toliau), kad būtų įgalintas netiesioginių filialų prognozės mažinimas aparatūros palaikymo tarnyba Tai apsaugo nuo CVE 2017-5715

Rekomenduojame išjungti "Hyper" tokioje aplinkoje, jei naudojami "Intel" procesoriai.

"SQL Server" pleistrus reikia įdiegti kaip įprastos pataisų strategijos dalį paskesniame suplanuotame atnaujinimo lange.

5

"SQL Server" veikia "Linux" OS.

Pritaikykite "Linux" OS naujinimus savo platinimo paslaugų teikėjui.

Pritaikykite "Linux" SQL serverio pataisymus (žiūrėkite toliau). Tai apsaugo nuo CVE 2017-5753.

Žiūrėkite toliau, jei norite įgalinti "Linux" branduolio puslapio lentelės atskyrimą (KPTI) ir "IBP" (CVE 2017-5754 ir CVE 2017-5715).

Rekomenduojame išjungti "Hyper" tokioje aplinkoje, jei "Intel" procesoriai naudojami scenarijams #3 ir #4 anksčiau.

6

Analizės platformos sistema (APS)

Nors MPS nepalaiko išplėtimo funkcijų iš SQL serverio, išvardintų Šiame biuletenyje, patartina įdiegti "Windows" lopai ant APS Appliance. KVAS/IBP įgalinimas nėra būtinas.

Našumo patarimai

Klientams patariama įvertinti jų konkrečios taikomosios programos veikimą, kai jie taiko naujinimus.

"Microsoft" pataria visiems klientams įdiegti atnaujintas "SQL Server" ir "Windows" versijas. Atsižvelgiant į "Microsoft" SQL darbo apkrovų testavimą, turi būti taikomi nedideli ir minimalūs esamos taikomosios programos efektyvumo efektai. Tačiau rekomenduojame išbandyti visus naujinimus prieš juos diegiant gamybos aplinkoje.

"Microsoft" nustatė branduolio virtualiojo adreso "Shadowing" (KVAS), branduolio puslapio lentelės Indirection (KPTI) ir netiesioginių filialų prognozavimo (IVP) poveikį įvairiose aplinkose ir rado kai kuriuos darbo krūvius su reikšmingu degradacija. Rekomenduojame išbandyti šių funkcijų įgalinimo veikimą, prieš diegdami juos gamybos aplinkoje. Jei šių funkcijų įgalinimo efektas yra per didelis esamai taikomajai programai, galite apsvarstyti, ar "SQL Server" nepatikimo kodo, vykstančio tame pačiame kompiuteryje, atskyrimas yra geresnis jūsų taikomosios programos sumažinimas.

Daugiau informacijos apie efektyvumo poveikį iš netiesioginių filialų prognozės mažinimo aparatūros palaikymo (IVP) išsamiai aprašyta čia.

"Microsoft" atnaujins šią sekciją su daugiau informacijos, kai ji bus pasiekiama.

Branduolio virtualaus adreso šešėliai įgalinimas (KVAS sistemoje "Windows") ir branduolio puslapio lentelės Indirection (KPTI "Linux")

KVAS ir KPTI sušvelninti prieš CVE 2017-5754, taip pat žinomas kaip "Meltdown" arba "3 variantas" GPZ atskleidimo.

SQL serveris veikia daugelyje aplinkų: fiziniuose kompiuteriuose, LSS viešosios ir privačios debesies aplinkoje, "Linux" ir "Windows" sistemose. Nepriklausomai nuo aplinkos, programa vykdoma kompiuteryje arba VM. Paskambinkite į saugos ribą.

Jei visas ribos kodas turi prieigą prie visų tos ribos duomenų, nereikia imtis jokių veiksmų. Jei tai nėra atvejis, riba yra kelių nuomotojų. Rasta pažeidžiamumų, kad būtų galima naudoti bet kokį kodą, net su sumažintomis teisėmis, veikiančių bet kurioje tos ribos proceso dalyje, kad būtų galima skaityti bet kokius kitus tos ribos duomenis. Jei yra bet koks procesas, kai riba veikia nepatikimas kodas, jis gali naudoti šiuos pažeidžiamumus, kad galėtų skaityti duomenis iš kitų procesų. Šis nepatikimas kodas gali būti nepatikimas kodas, naudojant SQL serverio išplečiamumo mechanizmus arba kitus procesus, kurių riba veikia nepatikimas kodas.

Norėdami apsisaugoti nuo nepatikimo kodo kelių nuomotojų riboje, naudokite vieną iš toliau nurodytų būdų

  • Pašalinkite nepatikimą kodą. Daugiau informacijos apie tai, kaip tai padaryti "SQL Server" išplėtimo mechanizmuose, rasite toliau. Norėdami pašalinti nepatikimą kodą iš kitų taikomųjų programų toje pačioje srityje, paprastai reikia atlikti konkrečios programos keitimą. Pvz., atskiriant į dvi TPG.

  • Įjunkite KVAS arba KPTI. Tai turės įtakos veikimui. Daugiau informacijos, kaip aprašyta anksčiau šiame straipsnyje.

Daugiau informacijos apie tai, kaip įgalinti KVAS, skirtą "Windows", rasite KB4072698. Norėdami gauti daugiau informacijos apie tai, kaip įgalinti KPTI "Linux", pasitarkite su savo operacinės sistemos platintoju.

Scenarijaus, kuriame primygtinai rekomenduojama KVAS arba KPTI, pavyzdys

Vietinio fizinio kompiuterio, kuriame veikia "SQL Server" kaip ne sistemos administratoriaus abonementas, klientams galima pateikti savavališkus R scenarijus, kad paleistumėte "SQL Server" (kuris naudoja antrinius procesus, kad galėtų vykdyti šiuos scenarijus už sqlservr. exe). Būtina įjungti KVAS ir KPTI, kad apsaugotumėte nuo duomenų atskleidimo sqlservr. exe procese ir apsaugotumėte nuo duomenų atskleidimo sistemos branduolio atmintyje. Pastaba "SQL Server" išplečiamumo mechanizmas nėra automatiškai laikomas nesaugiu tik todėl, kad jis naudojamas. Šiuos mechanizmus galima saugiai naudoti "SQL Server", kol kiekvienas priklausomumas yra suprantamas ir patikimas klientui. Be to, yra ir kitų produktų, kurie sukurti "SQL" viršuje, todėl gali reikėti tinkamai veikti išplečiamumo mechanizmai. Pvz., ant supakuotos taikomosios programos, sukurtos "SQL Server", gali reikėti susietojo serverio arba CLR saugomą procedūrą, kad jis veiktų tinkamai. "Microsoft" nerekomenduoja juos pašalinti kaip mažinimo dalį. Vietoj to Peržiūrėkite kiekvieną naudojimą, kad nustatytumėte, ar šis kodas suprantamas ir patikimas kaip pradinis veiksmas. Šios rekomendacijos pateikiamos siekiant padėti klientams nustatyti, ar jie yra tokioje situacijoje, kurioje jie turi įgalinti KVAS. Taip yra todėl, kad šis veiksmas turi reikšmingą veikimo reikšmę.

Netiesioginio šakos prognozės sušvelninimo įgalinimas (IBP) aparatūros palaikymas

IBP sušvelnina prieš CVE 2017-5715, taip pat žinomas kaip pusė Spectre arba "2 variantas" GPZ atskleidimui.

Šiame straipsnyje pateiktos instrukcijos, kaip įjungti KVAS "Windows", taip pat leidžia "IBP". Tačiau "IBP" taip pat reikalauja programinės aparatinės įrangos naujinimų iš jūsų aparatūros gamintojo. Be instrukcijų KB4072698 , kad įgalintumėte apsaugą sistemoje "Windows", klientai turi įsigyti ir įdiegti aparatūros gamintojo naujinimus.

Scenarijaus, kurį primygtinai rekomenduoja IVP, pavyzdys

Vietinis fizinis kompiuteris vykdo SQL serverį kartu su programa, kuri leidžia nepatikimam vartotojui nusiųsti ir vykdyti savavališką "JavaScript" kodą. Jei SQL duomenų bazėje yra konfidencialių duomenų, "IBP" primygtinai rekomenduojama naudoti kaip priemonę apsisaugoti nuo proceso ir proceso informacijos atskleidimo.

Tais atvejais, kai "IBP" aparatūros palaikymo nėra, "Microsoft" rekomenduoja atskirti nepatikimus procesus ir patikimą procesą į skirtingus fizinius kompiuterius arba virtualiąsias mašinas.

"Linux" vartotojai: Susisiekite su savo operacinės sistemos platintoju, jei norite gauti informacijos apie tai, kaip apsisaugoti nuo 2 varianto (CVE 2017-5715).

Scenarijaus, kuriame primygtinai rekomenduojama sušvelninti Mikroarchitektūros duomenų mėginių ėmimo pažeidžiamumą, pavyzdys

Apsvarstykite pavyzdį, kai vietiniame serveryje veikia du SQL serverio egzemplioriai, nuomoja dvi skirtingas taikomąsias programas dviejose skirtingose virtualiosiose mašinose tame pačiame fiziniame kompiuteryje. Tarkime, kad šios dvi verslui taikomosios programos neturėtų galėti skaityti duomenų, saugomų SQL serverio egzemplioriuose. Pažeidėjas, sėkmingai panaudojęs šias silpnąsias vietas, gali skaityti privilegijuotus duomenis per patikimumo ribas, naudodamas nepatikimą kodą, kuris veikia kompiuteryje kaip atskiras procesas arba nepatikimas kodas, įvykdytas naudojant SQL serverio išplėtimo mechanizmą (žr. toliau esantį skyrių išplėtimo parinktyse SQL serveryje). Bendrai naudojamos išteklių aplinkoje (pvz., kai kuriose debesies tarnybų konfigūracijose), šie pažeidžiamumas gali leisti vienai virtualiajai mašinai netinkamai pasiekti informaciją iš kitos. Ne naršymo scenarijuose dėl atskirų sistemų, pažeidėjas turi ankstesnę prieigą prie sistemos arba galimybę vykdyti specialiai sukurtą taikomąją programą tikslinei sistemai, kad būtų galima panaudoti šias silpnąsias vietas.

Nepatikimi SQL serverio išplėtimo mechanizmai

SQL serveris turi daug išplečiamumo funkcijų ir mechanizmų. Daugelis šių mechanizmų išjungtos pagal numatytuosius numatytuosius. Tačiau rekomenduojame klientams peržiūrėti kiekvieną gamybos egzempliorių, kad būtų galima naudoti išplėtimo funkciją. Rekomenduojame, kad kiekviena iš šių funkcijų būtų apribota iki minimalaus dvejetainių rinkinio ir kad vartotojai apribotų prieigą, kad būtų išvengta savavališko kodo vykdymo tame pačiame kompiuteryje kaip ir "SQL Server". Rekomenduojame klientams nustatyti, ar pasitikėti kiekvieną dvejetainį, ir išjungti arba pašalinti nepatikimus dvejetainius failus.

  • SQL CLR mazgai

  • R ir Python paketų, veikiančių per išorinį scenarijų mechanizmą arba paleisti iš atskiro R/Machine Learning Studio tame pačiame fiziniame kompiuteryje kaip ir SQL serveris

  • SQL agento išplečiamumo taškai veikia tame pačiame fiziniame kompiuteryje kaip ir SQL serveris ("ActiveX" scenarijai)

  • Ne "Microsoft OLE DB" teikėjai, naudojami susietuose serveriuose

  • Ne "Microsoft" pratęstos saugomos procedūros

  • COM objektai, vykdomi serveryje (pasiekiama per sp_OACreate)

  • Programos, atliktos naudojant xp_cmdshell

Priemonėmis sumažinti, jei naudojate nepatikimą kodą "SQL Server":

Scenarijaus/naudojimo atvejis

Švelninimai arba siūlomi veiksmai

Veikia SQL serveris su įgalinta CLR (sp_configure "CLR enabled", 1)

  1. Jei įmanoma, išjunkite CLR, jei jos nereikia taikomojoje programoje, kad sumažintumėte bet kokio nepatikimo kodo, įkelto į "SQL Server", riziką

  1. ("SQL Server" 2017 +) Jei jūsų taikomojoje programoje vis dar reikia CLR, įjunkite tik konkrečius rinkinius, kurie turi būti įkelti naudojant funkciją "CLR Strict Security" (CLR griežtas saugumas), naudojant sys.sp_add_trusted_assembly (sys.sp_add_trusted_assembly (TRANSACT-SQL))

  1. Apsvarstykite, ar CLR kodą galima perkelti į T-SQL ekvivalentą kodą

  1. Peržiūrėkite saugos teises, kad užrakintumėte scenarijus, kuriuos galima naudoti CLR pagrįstoms operacijoms. Ribokite rinkinio, išorinės prieigos rinkinio ir NESAUGIŲ rinkinio teisių minimalų vartotojų arba kodų kelių rinkinį, kad neleistumėte įkelti naujų rinkinių į esamą, įdiegtą taikomąją programą.

"Java/R/Python" išorinių scenarijų vykdymas iš "SQL Server" (sp_configure "išorinių scenarijų įjungtas", 1)

  1. Jei įmanoma, išjunkite išorinių scenarijų galimybę, jei jūsų taikomojoje programoje reikia sumažinti atakos paviršiaus plotą.

  1. ("SQL Server" 2017 +) Jei įmanoma, perkelkite išorinius scenarijus, kurie daro taškus, kad būtų naudojama prigimtinė vertinimo funkcija, o ne (gimtoji taškų, naudojant prognozuojamąjį T-SQL funkciją)

  1. Peržiūrėkite saugos teises, kad užrakintumėte scenarijus, kur galima naudoti išorinius scenarijus. Apribokite visus išorinius scenarijus, kad būtų leidžiama naudoti minimalų vartotojų/kodų maršrutų rinkinį, kad nebūtų vykdomi savavališki scenarijai.

Susietųjų serverių naudojimas (sp_addlinkedserver)

  1. Peržiūrėkite įdiegtus "OLEDB" teikėjus ir pašalinkite visus nepatikimus "OLEDB" paslaugų teikėjus iš įrenginio. (Įsitikinkite, kad nepašalinsite "OLEDB" teikėjų, jei jie naudojami ne "SQL Server" įrenginyje). Pavyzdys, kaip išvardyti esamus OLEDB teikėjus, yra čia: Oledbenumerator. GetEnumerator metodas (tipas)

  1. Peržiūrėkite ir pašalinkite visus nereikalingus susietus serverius iš "SQL Server" (sp_dropserver), kad sumažintumėte bet kokio nepatikimo kodo, vykdyto naudojant sqlservr. exe procesą, galimybę

  1. Peržiūrėkite saugos teises, kad užrakintumėte visus SUSIETOJO serverio teises ir minimalų vartotojų skaičių.

  1. Peržiūrėkite susietojo serverio prisijungimo/kredencialų susiejimus (sp_addlinkedsvrlogin/sp_droplinkedsvrlogin), kad apribotumėte, kas gali vykdyti operacijas per susietus serverius iki minimalaus vartotojų/scenarijų rinkinio.

Išplėstinių saugomų procedūrų naudojimas (sp_addextendedproc)

Kadangi pratęstos saugomos procedūros yra pasenusios, pašalinkite visus jų naudojimo būdus ir jų nenaudokite gamybos sistemose.

"Xp_cmdshell" naudojimas norint iškviesti dvejetainius iš "SQL Server"

Pagal numatytuosius nustatymą Ši funkcija yra išjungta. Peržiūrėkite ir apribokite visų xp_cmdshell naudojimą, jei norite iškviesti nepatikimus dvejetainius failus. Galite kontroliuoti prieigą prie šio galinio punkto naudodami sp_configure, kaip aprašyta čia:

xp_cmdshell serverio konfigūravimo parinktis

 

COM objektų naudojimas naudojant sp_OACreate

Pagal numatytuosius nustatymą Ši funkcija yra išjungta. COM objektai paleidžiami naudojant sp_OACreate vykdyti kodą serveryje. Peržiūrėkite visus tokius raginimus dėl nepatikimų dvejetainių failų. Galite patikrinti parametrus sp_configure, kaip aprašyta čia:

OLE automatizavimo procedūrų serverio konfigūracijos parinktis

 
Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Galimos funkcijos Bendruomenė

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.

Klauskite „Microsoft“ bendruomenės

„Microsoft“ technologijų bendruomenė

„Windows Insider Preview“ programos dalyviai

„Microsoft 365“ „Insider“ programos dalyviai

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?
Paspaudus mygtuką Pateikti, jūsų atsiliepimai bus naudojami tobulinant „Microsoft“ produktus ir paslaugas. Jūsų IT administratorius galės rinkti šiuos duomenis. Privatumo patvirtinimas.

Dėkojame už jūsų atsiliepimą!

×