Applies ToMicrosoft SQL Server

Kopsavilkums

Korporācija Microsoft ir informēta par jaunu publisku neaizsargāto personu klasi, kas tiek dēvēta par "spekulatīvo izpildes sānu kanālu uzbrukumiem", kas ietekmē daudzus modernus procesorus un operētājsistēmas. Tas attiecas arī uz Intel, AMD un ARM. Piezīme. Šī problēma ietekmē arī citas sistēmas, piemēram, Android, Chrome, iOS un MacOS. Tāpēc iesakām klientiem meklēt norādījumus no šiem pārdevējiem.

Microsoft ir izlaidusi vairākus atjauninājumus, kas palīdzēs samazināt šo ievainojamību. Esam veikuši arī pasākumus, lai nodrošinātu mūsu mākoņa pakalpojumus. Papildinformāciju skatiet nākamajās sadaļās.

Microsoft nav saņēmusi nekādu informāciju, kas norāda, ka šī ievainojamība ir izmantota, lai uzbruktu klientiem šajā laikā. Microsoft turpina cieši sadarboties ar nozares partneriem, ieskaitot mikroshēmu veidotājus, aparatūras OEM un lietojumprogrammu izplatītājus, lai aizsargātu klientus. Lai iegūtu visas pieejamās aizsardzības iespējas, aparatūra vai programmaparatūra un programmatūras atjauninājumi ir nepieciešami. Tas ietver arī kodu no ierīces OEM un dažos gadījumos — pretvīrusu programmatūras atjauninājumus. Papildinformāciju par ievainojamību skatiet rakstā Microsoft drošības padomdevēja ADV180002. Vispārīgu informāciju par to, kā mazināt šīs neaizsargātības klasi, skatiet rakstā norādījumi par to, kā mazināt spekulatīvo izpildi kanāla ievainojamība

Microsoft Published ADV190013 — Microsoft norādījumi par to, kā samazināt arhitektonisko datu paraugu Ievainojamību 2019 maijā. SQL Server nav konkrētu drošības ielāpu par problēmu, kas aprakstīta rakstā ADV190013. Norādījumus par vidi, ko ietekmē ADV190013, varat atrast šī raksta sadaļā ieteikumi. Ņemiet vērā, ka šī Padomdevēja darbība attiecas tikai uz Intel procesoriem.

Kā iegūt un instalēt atjauninājumu

Šis atjauninājums ir pieejams arī Windows Server atjaunināšanas pakalpojumos (WSUS) vai Microsoft atjaunināšanas katalogatīmekļa vietnē.Piezīme: Šis atjauninājums netiks lejupielādēts un instalēts automātiski, izmantojot Windows Update.

Pieejamie SQL ielāpi

Publikācijas brīdī lejupielādei ir pieejami šādi atjaunināti SQL Server būvējumi:

Apkalpošanas laidiens

4057122 SQL Server 2017 GDR drošības atjauninājuma apraksts: 3. janvāris, 2018 4058562 SQL Server 2017 RTM CU3 drošības atjauninājuma apraksts: 3. janvāris, 20184058561 SQL Server 2016 SP1 CU7 drošības atjauninājuma apraksts : 3. janvāris 20184057118 SQL Server 2016 VDR SP1 drošības atjauninājuma apraksts: 3. janvāris, 20184058559 SQL Server 2016 CU drošības ATJAUNINĀJUMA apraksts: 6. janvāris, 20184058560 SQL server 2016 VDR drošības atjauninājuma apraksts: 6. janvāris, 20184057117 SQL server 2014 SP2 10 VV: 16. janvāris, 20184057120 SQL Server 2014 SP2 GDR drošības atjauninājuma apraksts: 16. janvāris, 20184057116 SQL Server 2012 SP4 GDR drošības atjauninājuma apraksts : 12. janvāris, 20184057115 sql Server 2012 SP3 drošības atjauninājuma apraksts: janvāris, 20184057121 SQL Server 2012 SP3 drošības atjauninājuma apraksts:janvāris, 20184057114 SQL Server 2008 SP4 VDR drošības atjauninājuma apraksts: 6. janvāris, 20184057113 . gada 6. janvāris

Šis dokuments tiks atjaunināts, ja būs pieejami papildu atjaunināti būvējumi.

Piezīmes.

  • Mēs esam atlaiduši visus nepieciešamos SQL Server atjauninājumus, lai mazinātu "spoks" un "meltdown" spekulatīvo izpildes sānu kanālu ievainojamība. Microsoft nezina nekādu papildu ietekmi uz "spoks" un "meltdown" spekulatīvo izpildi puses kanālu ievainojamība komponentiem, kas nav norādīti sadaļā "pieejamie SQL ielāpi".

  • Visos turpmākajos SQL Server 2014, SQL Server 2016 un SQL Server 2017 pakalpojumu pakotnēs un kumulatīvajos atjauninājumos būs iekļauti labojumi. Piemēram, SQL Server 2016 SP2 jau ir iekļauti spektra un sabrukuma labojumi.

  • Ja jums ir Windows būvējums, skatiet tālāk norādītās vadlīnijas, lai iegūtu jaunāko informāciju par pieejamajiem Windows būvējumiem:

    Windows Server norādījumi par spoku/sabrukuma sānu kanālu ievainojamība

    Windows Server norādījumi par arhitektūras datu paraugu ievainojamību

    Ja jums ir Linux būvējumi, sazinieties ar savu Linux piegādātāju, lai atrastu jaunākos atjauninātos būvējumus specifiskam Linux sadalījumam.

  • Lai pēc iespējas ātrāk risinātu šo spektru un sabrukumu, šī SQL Server atjauninājumu piegāde sākotnēji tika veikta Microsoft lejupielādes centrā kā primārajā piegādes modelī. Lai gan šie atjauninājumi tiks piegādāti, izmantojot Microsoft Update martā, mēs iesakām attiecīgajiem klientiem instalēt atjauninājumu tūlīt, negaidot, kamēr tie būs pieejami, izmantojot Microsoft Update.

Atbalstītās SQL Server versijas

Microsoft iesaka visiem klientiem instalēt SQL Server atjauninājumus (norādīti tālāk) kā daļu no to parastā ielāpu atkārtošanas cikla.  Klienti, kas darbina SQL Server drošā vidē, kur ir bloķēti paplašināšanas punkti un visi trešo pušu kodi, kas darbojas vienā serverī, ir uzticami un apstiprināti, šī problēma nav jāietekmē.

Tālāk norādītajām SQL Server versijām ir pieejami atjauninājumi, kad tie tiek palaisti x86 un x64 procesoru sistēmās:

  • SQL Server 2008

  • SQL Server 2008R2

  • SQL Server 2012

  • SQL Server 2014

  • SQL Server 2016

  • SQL Server 2017

Mēs neticam, ka funkcija IA64 (Microsoft SQL Server 2008) ir ietekmēta. Microsoft analītiskās platformas pakalpojums (APS) ir pamatots uz Microsoft SQL Server 2014 vai Microsoft SQL Server 2016, taču tas nav īpaši ietekmēts. Daži vispārēji ieteikumi par APS ir uzskaitīti tālāk šajā rakstā.

Ieteikumus

Tālāk esošajā tabulā ir norādīts, kas klientiem ir jādara atkarībā no vides, kurā darbojas SQL Server un kāda funkcionalitāte tiek izmantota. Microsoft iesaka izvietot labojumus, izmantojot parastās procedūras, lai testētu jaunus bināros failus pirms to izvietošanas ražošanas vidēs.

Scenārija numurs

Scenārija apraksts

Prioritātes ieteikumi

1

Azure SQL datu bāze un datu noliktava

Nav nepieciešama darbība (detalizētu informāciju skatiet šeit ).

2

SQL Server darbojas fiziskā datorā vai virtuālajā datorā

UN neviens no šiem nosacījumiem nav patiess:

  • Cita lietojumprogramma, kas izpilda potenciāli naidīgu kodu, tiek viesota tajā pašā datorā

  • SQL Server paplašināmības saskarnes tiek izmantotas ar neuzticamu kodu (skatīt zemāk sarakstam)

 

Microsoft iesaka instalēt visus OS atjauninājumus to aizsardzībai pret CVE 2017-5753.

Microsoft iesaka instalēt visus OS atjauninājumus , lai aizsargātu no arhitektūras datu izņemšanas ievainojamība (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 un CVE-2018-11091).

Kodola virtuālās adreses ēnošanas (KVAS) un netiešās nodaļas paredzēšanas mazināšanas aparatūras atbalsta (IBP) iespējošana nav nepieciešama (skatiet tālāk). Nākamā plānotā atjaunināšanas logā ir jāinstalē SQL Server ielāpi kā parastas patching politikas daļa.

Šajā resursdatorā varat turpināt izmantot hyperthreading.

3

SQL Server darbojas fiziskā datorā vai virtuālajā datorā

Citas lietojumprogrammas, kas izpilda potenciāli naidīgu kodu, tiek viesotas vienā datorā

UN/vai SQL Server paplašināšanas interfeisi tiek izmantoti ar neuzticamu kodu (skatīt zemāk sarakstā)

 

 

 

Microsoft iesaka instalēt visus OS atjauninājumus , lai nodrošinātu aizsardzību pret CVE 2017-5753.

Microsoft iesaka instalēt visus OS atjauninājumus , lai aizsargātu no arhitektūras datu izņemšanas ievainojamība (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 un CVE-2018-11091).

Lietot SQL Server ielāpus (skatīt zemāk). Tas aizsargā no CVE 2017-5753.

Ir stingri ieteicams iespējot kodola virtuālo adresi (KVAS) (skatīt zemāk). Tas aizsargā no CVE 2017-5754.

Ir stingri ieteicams iespējot netiešās filiāles paredzēšanas mazināšanas aparatūras atbalstu (IBP) (skatiet tālāk). Tas aizsargā pret CVE 2017-5715

Iesakām atspējot hyperthreading resursdatorā, ja tiek izmantoti Intel procesori.

4

SQL Server darbojas fiziskajā datorā

Turklāt citas lietojumprogrammas, kas izpilda potenciāli naidīgu kodu, netiek viesotas vienā datorā

UN SQL Server paplašināmības interfeisi tiek izmantoti, lai izpildītu uzticamus kodus. Piemēri 

  • CLRs montāžas, kas ir pārskatītas/apstiprinātas lietošanai ražošanā

  • Saistītie serveri, kuriem uzticaties, palaižot pārbaudītus vaicājumus.

Nav piemēru:

  • No interneta lejupielādēti patvaļīgi R/python skripti

  • Untrusted CLR binārie faili no trešās puses

Microsoft iesaka instalēt visus OS atjauninājumus to aizsardzībai pret CVE 2017-5753.

Microsoft iesaka instalēt visus OS atjauninājumus , lai aizsargātu no arhitektūras datu noņemšanas ievainojamība (CVE-2018-12126, CVE-2018-12130, Cve-2018-12127 un CVE-2018-11091).

Ir stingri ieteicams iespējot kodola virtuālo adresi (KVAS) (skatīt zemāk). Tas aizsargā no CVE 2017-5754.

Ir stingri ieteicams iespējot netiešās filiāles paredzēšanas mazināšanas aparatūras atbalstu (IBP) (skatiet tālāk). Tas aizsargā pret CVE 2017-5715

Iesakām atspējot hyperthreading tādā vidē, ja tiek izmantoti Intel procesori.

Nākamā plānotā atjaunināšanas logā ir jāinstalē SQL Server ielāpi kā parastas patching politikas daļa.

5

SQL Server darbojas operētājsistēmā Linux.

Izmantojiet Linux OS atjauninājumus no sava adresātu pakalpojumu sniedzēja.

Lietot Linux SQL Server ielāpus (skatīt zemāk). Tas aizsargā no CVE 2017-5753.

Skatiet tālāk informāciju par to, vai iespējot Linux kodola lapas tabulas izolāciju (KPTI) un IBP (CVEs CVE 2017-5754 un CVE 2017-5715).

Iesakām atspējot hyperthreading tādā vidē, ja Intel procesori tiek izmantoti scenārijā #3 un #4, kas minētas iepriekš.

6

Analīzes platformas sistēma (APS)

Lai gan APS neatbalsta paplašināmības līdzekļus no SQL Server, kas ir norādīts šajā biļetenā, ieteicams instalēt Windows ielāpus, izmantojot APS ierīci. KVAS/IBP iespējošana nav nepieciešama.

Veiktspējas padomdevēja

Klientiem ieteicams novērtēt savas konkrētās lietojumprogrammas veiktspēju, kad tie lieto atjauninājumus.

Microsoft iesaka visiem klientiem instalēt atjauninātas SQL Server un Windows versijas. Ņemot vērā Microsoft testēšanu ar SQL noslogojumu, tam vajadzētu būt nenozīmīgam veiktspējas efektam atbilstoši esošajām lietojumprogrammām. Tomēr ieteicams pārbaudīt visus atjauninājumus pirms to izvietošanas ražošanas vidē.

Microsoft ir izvērtējusi kodola virtuālās adreses ēnošanas (KVAS), kodola lapas tabulas netiešas (KPTI) un netiešās filiāles prognozes mazināšanas (IBP) ietekmi dažādās vidēs, kā arī atrastas dažas darba slodzes ar nozīmīgu degradāciju. Pirms to izvietošanas ražošanas vidē ieteicams pārbaudīt, vai ir jāveic šo līdzekļu iespējošana. Ja šīs funkcijas iespējošanas efekts ir pārāk augsts esošā lietojumprogrammā, varat apsvērt, vai SQL Server no neuzticama koda, kas darbojas vienā datorā, ir labāka jūsu lietojumprogrammas mazināšana.

Plašāka informācija par veiktspējas efektu no netiešās nozares prognozēšanas mazināšanas aparatūras atbalsta (IBP) ir detalizēti aprakstīta šeit.

Microsoft atjauninās šo sadaļu ar plašāku informāciju, kad tā būs pieejama.

Kodola virtuālās adreses ēnkopijas iespējošana (KVAS operētājsistēmā Windows) un kodola lapas tabula netieša (KPTI operētājsistēmā Linux)

KVAS un KPTI mazina CVE 2017-5754, ko dēvē arī par "meltdown" vai "Variant 3" GPZ atklāšanā.

SQL Server darbojas daudzās vidēs: fiziskajos datoros, VMs publiskajā un privātajā mākoņa vidē, Linux un Windows sistēmās. Neatkarīgi no vides programma tiek palaista datorā vai VM. Piedēvējiet šo drošības robežu.

Ja visiem robežas kodiem ir piekļuve visiem datiem šajā robežās, nav jāveic nekāda darbība. Ja tas tā nav, robežas ir uzskatāma par vairāku nomnieku. Atrastā ievainojamība sniedz iespēju izmantot jebkuru kodu pat ar ierobežotām atļaujām, kas darbojas jebkurā šīs robežas procesa laikā, lai lasītu jebkurus citus datus šajā robežās. Ja robežai tiek izmantots neuzticams kods, var izmantot šīs ievainojamība, lai lasītu datus no citiem procesiem. Šis neuzticams kods var būt neuzticams kods, izmantojot SQL Server paplašināmības mehānismus vai citus procesus, kas darbojas ar neuzticamu kodu.

Lai aizsargātu pret neuzticamu kodu vairāku nomnieku robežās, izmantojiet kādu no tālāk norādītajām metodēm.

  • Noņemiet neuzticamu kodu. Papildinformāciju par to, kā to paveikt SQL Server paplašināšanas mehānismiem, skatiet tālāk. Lai noņemtu neuzticamus kodus no citām lietojumprogrammām tajā pašā robežās, parasti ir nepieciešamas lietojumprogrammas specifiskas izmaiņas. Piemēram, atdalot divās VMs.

  • Ieslēgt KVAS vai KPTI. Tam būs veiktspējas efekts. Lai iegūtu papildinformāciju, kā aprakstīts iepriekš šajā rakstā.

Papildinformāciju par to, kā iespējot KVAS darbam ar Windows, skatiet KB4072698. Lai iegūtu papildinformāciju par to, kā KPTI iespējot Linux, sazinieties ar operētājsistēmas izplatītāju.

Piemērs, kurā ir ļoti ieteicama KVAS vai KPTI

Lokāls fiziskais dators, kas vieso SQL Server kā nesistēmas administratora kontu, ļauj klientiem iesniegt patvaļīgas R skriptus, lai izpildītu SQL Server (kas izmanto sekundāros procesus, lai palaistu šos skriptus ārpus sqlservr. exe). Ir nepieciešams iespējot KVAS un KPTI, lai nodrošinātu aizsardzību pret datu atklāšanu sqlservr. exe procesa laikā un aizsargātu datu atklāšanu sistēmas kodola atmiņā. Piezīme. Paplašināmības mehānisms programmā SQL Server netiek automātiski uzskatīts par nedrošu tikai tāpēc, ka tas tiek izmantots. Šos mehānismus var droši lietot, izmantojot SQL Server, kamēr katra atkarība ir saprasta un uzticama no klienta. Tāpat ir arī citi produkti, kuru pamatā ir SQL, kas var būt nepieciešami, lai nodrošinātu pareizu paplašināšanas mehānismu darbību. Piemēram, iepakotai lietojumprogrammai, kas tiek veidota, izmantojot SQL Server, var būt nepieciešams saistīts serveris vai CLR saglabāta procedūra pareizai darbībai. Microsoft neiesaka noņemt šīs kā daļu no ietekmes mazināšanas. Tā vietā pārskatiet katru izmantošanu, lai noteiktu, vai šis kods ir saprotams un uzticams kā sākotnējā darbība. Šī informācija ir paredzēta, lai palīdzētu klientiem noteikt, vai viņi ir stāvoklī, kurā tiem ir jāiespējo KVAS. Tas ir tāpēc, ka šī darbība būtiski ietekmē veiktspēju.

Netiešās filiāles paredzēšanas mazināšanas (IBP) aparatūras atbalsts

IBP, kas mazina CVE 2017-5715, tiek dēvēta arī par vienu pusi no spoka vai "Variant 2" GPZ atklāšanā.

Šajā rakstā sniegtās instrukcijas, lai iespējotu KVAS operētājsistēmā Windows, iespējo arī IBP. Taču IBP ir nepieciešama arī aparatūras ražotāja programmaparatūras atjauninājums. Papildus instrukcijām KB4072698 , lai nodrošinātu aizsardzību operētājsistēmā Windows, klientiem ir jāsaņem un jāinstalē atjauninājumi no to aparatūras ražotāja.

Piemērs, kurā tiek stingri ieteikts IBP

Lokālais fiziskais dators vieso SQL Server kopā ar lietojumprogrammu, kas atļauj nepilnvarotiem lietotājiem augšupielādēt un izpildīt patvaļīgu JavaScript kodu. Pieņemot, ka SQL datu bāzē ir konfidenciāli dati, tas ir stingri ieteicams kā līdzeklis aizsardzībai pret procesa informācijas atklāšanu.

Gadījumos, kad IBP aparatūras atbalsts nav atrodams, korporācija Microsoft iesaka atdalīt neuzticamus procesus un uzticamu procesu dažādos fiziskajos datoros vai virtuālās mašīnās.

Linux lietotāji: lai iegūtu informāciju par to, kā aizsargāt no 2. varianta (CVE 2017-5715), sazinieties ar operētājsistēmas izplatītāju.

Piemērs, kurā ir ļoti ieteicams samazināt arhitektonisko datu paraugu ievainojamību

Iedomājieties piemēru, kur lokālajā serverī darbojas divas SQL Server instances ar divām dažādām darba lietojumprogrammām divās dažādās virtuālās mašīnās vienā fiziskā resursdatorā. Pieņemiet, ka šīs abas biznesa lietojumprogrammas nevarēs nolasīt datus, kas tiek glabāti SQL Server instancēs. Uzbrucējs, kurš sekmīgi izmantoja šīs ievainojamība, iespējams, var nolasīt privileģētus datus visā uzticamības robežās, izmantojot neuzticamus kodus, kas darbojas datorā kā atsevišķs process vai neuzticams kods, kas tiek izpildīts, izmantojot SQL Server paplašināšanas mehānismu (skatiet tālāk sadaļu par paplašināšanas opcijām programmā SQL Server). Koplietojamā resursu vidē (piemēram, pastāv dažās mākoņa pakalpojumu konfigurācijās), šīs ievainojamība var ļaut vienai virtuālajai mašīnai nepareizi piekļūt informācijai no cita. Nepārlūkojot scenārijus par savrupām sistēmām, uzbrucējam ir nepieciešama iepriekšēja piekļuve sistēmai vai iespēja palaist īpaši izveidotu lietojumprogrammu, lai izmantotu šo ievainojamību.

Neuzticams SQL Server paplašināšanas mehānismi

SQL Server ietver daudzus paplašināšanas līdzekļus un mehānismus. Lielākajai daļai šo mehānismu pēc noklusējuma ir atspējota. Taču mēs iesakām klientiem pārskatīt katru paplašināšanas līdzekļu izmantošanas ražošanas instanci. Ieteicams, lai katrs no šiem līdzekļiem būtu ierobežots ar minimālo bināro kopu un to, ka klienti ierobežo piekļuvi, lai neļautu patvaļīgam kodam darboties tajā pašā datorā, kur darbojas SQL Server. Iesakām klientiem noteikt, vai uzticēties katram binārajam skaitlim, kā arī atspējot vai noņemt neuzticamos bināros.

  • SQL CLR montāžas

  • R un Python iepakojumi, kas darbojas ar ārējo skriptu mehānismu vai palaist no savrupās R/Machine Learning Studio tajā pašā fiziskajā datorā kā SQL Server

  • SQL aģenta paplašināšanas punkti, kas darbojas tajā pašā fiziskajā datorā kā SQL Server (ActiveX skripti)

  • Saistītajos serveros izmantotie OLE DB pakalpojumu sniedzēji

  • Neesošas paplašinātās saglabātās procedūras

  • COM objekti, kas tiek izpildīti serverī (piekļūstot no sp_OACreate)

  • Xp_cmdshell izpildītās programmas

Ietekmes mazināšanas funkcija. Ja SQL Server izmanto neuzticamu kodu:

Scenārijs/lietošanas gadījums

Ietekmes mazināšana vai ieteicamās darbības

Darbojas SQL Server ar CLR iespējots (sp_configure "CLR iespējots",1)

  1. Ja iespējams, atspējojiet CLR, ja jūsu lietojumprogrammā tā nav nepieciešama, lai samazinātu risku, ka neuzticams kods tiek ielādēts SQL Server

  1. (SQL Server 2017 +) Ja jūsu lietojumprogrammā ir nepieciešama CLR, iespējojiet tikai noteiktas montāžas, kas jāielādē, izmantojot funkciju "CLR stingrs drošības līdzeklis" (CLR stingra drošība), izmantojot sys.sp_add_trusted_assembly (sys.sp_add_trusted_assembly (Transact-SQL))

  1. Apsveriet, vai CLR kodu var migrēt uz T-SQL ekvivalenta kodu

  1. Pārskatiet drošības atļaujas, lai bloķētu scenārijus, kuros var izmantot CLR darbības. Ierobežojiet izveidot montāžas, ārējās piekļuves MONTĀŽU un nedrošu MONTĀŽU atļauju uz minimālo kopu lietotājiem vai kodu ceļiem, lai neatļautu jaunu montāžu ielādi esošā, izvietotā lietojumprogrammā.

Palaist Java/R/Python ārējos skriptus no SQL Server (sp_configure "ārējie skripti",1)

  1. Ja iespējams, atspējojiet ārējo skriptu iespējas, ja jūsu lietojumprogrammā tas nav nepieciešams, lai samazinātu uzbrukuma virsmas laukumu.

  1. (SQL Server 2017 +) Ja iespējams, migrējiet ārējos skriptus, veicot punktu skaitu, lai tā vietā izmantotu vietējo vērtēšanas līdzekli (vietējie vērtēšanas punkti, izmantojot funkciju prognozēt T-SQL)

  1. Pārskatiet drošības atļaujas, lai bloķētu scenārijus, kuros var izmantot ārējos skriptus. Lai neļautu izpildīt patvaļīgus skriptus, ierobežojiet jebkuru ĀRĒJa SKRIPTA atļauju.

Saistīto serveru izmantošana (sp_addlinkedserver)

  1. Pārskatiet instalētos OLEDB pakalpojumu sniedzējus un apsveriet iespēju no datora noņemt neuzticamos OLEDB pakalpojumu sniedzējus. (Pārliecinieties, vai nenoņemat OLEDB pakalpojumu sniedzējus, ja tie tiek izmantoti ārpus datora SQL Server). Piemērs par to, kā uzskaitīt esošos OLEDB pakalpojumu sniedzējus, ir šeit: OleDbEnumerator. GetEnumerator metode (tips)

  1. Pārskatiet un noņemiet visus nevajadzīgos saistītos serverus no SQL Server (sp_dropserver), lai samazinātu iespējamību, ka neuzticams kods tiek izpildīts sqlservr. exe procesa laikā.

  1. Pārskatiet drošības atļaujas, lai bloķētu jebkuru saistīto servera atļauju ar minimālo lietotāju skaitu.

  1. Pārskatiet saistīto serveru pieteikšanās/akreditācijas datu kartējumus (sp_addlinkedsvrlogin/sp_droplinkedsvrlogin), lai ierobežotu to personu skaitu, kas var izpildīt saistītās darbības ar saistītajiem serveriem līdz minimālajai lietotāju/scenāriju kopai.

Paplašināto saglabāto procedūru izmantošana (sp_addextendedproc)

Tā kā paplašinātās saglabātās procedūras ir novecojuši, noņemiet to visus izmantošanas veidus un nelietojiet tos ražošanas sistēmās.

Xp_cmdshell izmantošana, lai izmantotu bināros failus no SQL Server

Pēc noklusējuma šis līdzeklis ir izslēgts. Pārskatiet un ierobežojiet visu xp_cmdshell izmantošanu, lai izsauktu neuzticamus bināros failus. Varat kontrolēt piekļuvi šim galapunktam, izmantojot sp_configure, kā aprakstīts šeit:

xp_cmdshell servera konfigurācijas opcija

 

COM objektu izmantošana, izmantojot sp_OACreate

Pēc noklusējuma šis līdzeklis ir izslēgts. COM objekti tiek izcelti, izmantojot sp_OACreate izpildīt serverī instalētu kodu. Pārskatiet šādus zvanus neuzticams binārie faili. Varat pārbaudīt iestatījumus, izmantojot sp_configure, kā aprakstīts šeit:

OLE automatizācijas procedūru servera konfigurācijas opcija

 

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.