Prihláste sa s kontom Microsoft
Prihláste sa alebo si vytvorte konto.
Dobrý deň,
Vyberte iné konto.
Máte viacero kont
Vyberte konto, s ktorým sa chcete prihlásiť.

Súhrn

Spoločnosť Microsoft je oboznámená s novou verejne dostupnou triedou zraniteľnosti označovanou ako "špekulatívna realizácia bočného kanála útoky", ktoré majú vplyv na mnoho moderných procesorov a operačných systémov. Patrí sem procesor Intel, AMD a ARM. Poznámka: Tento problém sa týka aj iných systémov, ako sú napríklad Android, Chrome, iOS a MacOS. Preto odporúčame zákazníkom, aby vyhľadávali pokyny od týchto dodávateľov.

Spoločnosť Microsoft vydala niekoľko aktualizácií, ktoré pomáhajú zmierňovať tieto chyby zabezpečenia. Vykonali sme aj kroky na zabezpečenie našich cloudových služieb. Ďalšie informácie nájdete v nasledujúcich častiach.

Spoločnosť Microsoft nedostala žiadne informácie na označenie toho, že tieto chyby boli použité na napadnutie zákazníkov v súčasnosti. Spoločnosť Microsoft naďalej úzko spolupracuje s priemyselnými partnermi vrátane výrobcov čipov, hardvérových výrobcov OEM a dodávateľov aplikácií na ochranu zákazníkov. Ak chcete získať všetky dostupné ochrany, vyžaduje sa hardvér alebo firmvér a softvérové aktualizácie. Toto zahŕňa mikrokóde z OEM zariadenia a v niektorých prípadoch aj aktualizácie antivírusového softvéru. Ďalšie informácie o zraniteľných miestach nájdete v téme Microsoft Security ADVISORY ADV180002. Všeobecné pokyny na zmiernenie tejto triedy zraniteľnosti nájdete v téme pokyny na zmiernenie špekulatívnych chýb na strane kanála

Spoločnosť Microsoft publikovala ADV190013 – Microsoft Guidance na zmiernenie zraniteľných údajov o mikroarchitektonických vzorkách v máji 2019. SQL Server nemá žiadne konkrétne bezpečnostné záplaty na problém popísaný v ADV190013. Pokyny pre prostredie ovplyvnené ADV190013 nájdete v časti odporúčania tohto článku. Upozorňujeme, že tento Poradný postup sa vzťahuje len na procesory Intel.

Získanie a Inštalácia aktualizácie

Táto aktualizácia je k dispozícii aj prostredníctvom služby WSUS (Windows Server Update Services) alebo na webovej lokalitekatalógu služby Microsoft Update.Poznámka: Táto aktualizácia sa nestiahne a nainštaluje automaticky cez Windows Update.

Dostupné SQL záplaty

V čase uverejnenia je k dispozícii na stiahnutie nasledujúce aktualizované zostavy SQL servera:

Vydanie správy

4057122 Popis aktualizácie zabezpečenia pre SQL Server 2017 NDR: 3. januára 2018 4058562 Popis aktualizácie zabezpečenia pre SQL Server 2017 RTM CU3: január 3, 2018 4058561 Popis aktualizácie zabezpečenia pre SQL Server 2016 SP1 CU7:3. januára 2018 4057118 Popis aktualizácie zabezpečenia pre SQL Server 2016 NDR SP1:3. januára 2018 4058559 Popis aktualizácie zabezpečenia pre SQL Server 2016 cu: 6. január 2018 4058560 Popis aktualizácie zabezpečenia pre SQL Server 2016 NDR: 6. januára 2018 4057117 popis aktualizácie zabezpečenia pre SQL Server 2014 SP2 CU10:16. januára 20184057120 Popis aktualizácie zabezpečenia pre SQL Server 2014 SP2 NDR: 16. januára 20184057116 Popis aktualizácie zabezpečenia pre SQL Server 2012 SP4 NDR : 12. januára 20184057115 Popis aktualizácie zabezpečenia pre SQL Server 2012 SP3 NDR: január, 20184057121 Popis aktualizácie zabezpečenia pre SQL Server 2012 SP3 CU: január, 20184057114 popis aktualizácie zabezpečenia pre SQL Server 2008 SP4 NDR: 6.20184057113 Popis aktualizácie zabezpečenia pre SQL Server 2008 R2 SP3 NDR: 6. januára 2018

Tento dokument sa aktualizuje, keď sú k dispozícii ďalšie aktualizované zostavy.

Poznámky:

  • Vydali sme všetky potrebné aktualizácie pre SQL Server na zmiernenie "prízrakov" a "kolaps" špekulatívne prevedenie na strane kanála zraniteľnosti. Spoločnosť Microsoft si nie je vedomá žiadnej ďalšej expozície na "prízraky" a "kolaps" špekulatívneho výkonu na strane kanála zraniteľnosti pre súčasti, ktoré nie sú uvedené v časti dostupné SQL záplaty.

  • Všetky následné SQL Server 2014, SQL Server 2016 a SQL Server 2017 Service Pack a kumulatívne aktualizácie budú obsahovať opravy. Napríklad SQL Server 2016 SP2 už obsahuje chyby prízrak a zrútenie.

  • Ak ide o zostavy systému Windows, pozrite si nasledujúce pokyny týkajúce sa najnovších informácií o dostupných verziách Windowsu:

    Windows Server Guidance pre prízraky alebo zrútenie na strane kanála zraniteľnosti

    Informácie o zraniteľnosti vzoriek údajov v systéme Windows Server pre mikroarchitektonické údaje

    Pri zostavovaní Linuxu si požiadajte svojho predajcu Linuxu o nájdenie najnovších aktualizovaných zostáv pre konkrétnu distribúciu Linuxu.

  • Na riešenie problémov s prízrakom a nedostatočným kolapsom čo najskôr sa dodanie týchto aktualizácií SQL servera najprv uskutočnilo v centre sťahovania softvéru ako primárny model doručenia. Hoci tieto aktualizácie sa doručujú prostredníctvom služby Microsoft Update v marci, odporúčame, aby dotknutí zákazníci nainštalovali aktualizáciu teraz bez toho, aby museli čakať, kým budú k dispozícii prostredníctvom služby Microsoft Update.

Podporované verzie SQL servera, ktoré sú ovplyvnené

Spoločnosť Microsoft odporúča všetkým zákazníkom nainštalovať aktualizácie SQL servera (uvedené nižšie) ako súčasť ich pravidelného cyklu opráv.  Zákazníci, ktorí používajú SQL Server v bezpečnom prostredí, v ktorom sú blokované body rozšíriteľnosti a že všetky kódy tretích strán spustené na tom istom serveri sú dôveryhodné a schválené, by tento problém nemali ovplyvniť.

Nasledujúce verzie SQL servera majú k dispozícii aktualizácie, keď sú spustené v systémoch procesorov x86 a x64:

  • SQL Server 2008

  • SQL Server 2008R2

  • SQL Server 2012

  • SQL Server 2014

  • SQL Server 2016

  • SQL Server 2017

Neveríme, že je ovplyvnená IA64 (Microsoft SQL Server 2008). Služba Microsoft analytických platforiem (APS) je založená na Microsoft SQL Server 2014 alebo Microsoft SQL Server 2016, ale nie je špecificky ovplyvnená. Niektoré všeobecné pokyny pre APS sú uvedené ďalej v tomto článku.

Odporúčania

Nasledujúca tabuľka obsahuje prehľad o tom, čo by mali zákazníci vykonávať v závislosti od prostredia, v ktorom je spustený SQL Server, a o tom, akú funkciu používate. Spoločnosť Microsoft odporúča nasadenie opráv pomocou zvyčajných postupov na otestovanie nových binárnych súborov pred ich nasadením do produkčných prostredí.

Číslo scenára

Popis scenára

Prioritné odporúčania

1

Databáza Azure SQL a údajový sklad

Nevyžaduje sa žiadna akcia (Podrobnosti nájdete tu ).

2

SQL Server je spustený vo fyzickom počítači alebo virtuálnom počítači

A žiadna z týchto podmienok nie je pravdivá:

  • Na tom istom počítači je spoluhosťovaná ďalšia aplikácia, ktorá vykonáva potenciálne nepriateľský kód

  • SQL Server rozšíriteľnosť rozhrania sa používajú s nedôveryhodným kódom (pozri nižšie pre zoznam)

 

Spoločnosť Microsoft odporúča nainštalovať všetky aktualizácie operačného systému to na ochranu pred CVE 2017-5753.

Spoločnosť Microsoft odporúča nainštalovať všetky aktualizácie operačného systému na ochranu pred zraniteľnými údajmi o mikroarchitektonických údajoch (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 a CVE-2018-11091).

Povolenie funkcie shadowing Virtual Address shadowing (KVAS) a nepriamej podpory predikcie vetiev (IBP) sa nevyžaduje (pozri nižšie). SQL Server záplaty by mali byť nainštalované ako súčasť normálneho opráv politiky v ďalšej plánovanej aktualizácii okno.

Môžete pokračovať v využívaní vlákien na takomto hostiteľovi.

3

SQL Server je spustený vo fyzickom počítači alebo virtuálnom počítači

Na tom istom počítači je spoluhosťovaná aj ďalšia aplikácia, ktorá vykonáva potenciálne nepriateľský kód

A/alebo SQL Server rozšíriteľné rozhrania sa používajú s nedôveryhodným kódom (pozri nižšie pre zoznam)

 

 

 

Spoločnosť Microsoft odporúča nainštalovať všetky aktualizácie operačného systému na ochranu pred 2017-5753 CVE.

Spoločnosť Microsoft odporúča nainštalovať všetky aktualizácie operačného systému na ochranu pred zraniteľnými údajmi o mikroarchitektonických údajoch (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 a CVE-2018-11091).

Použite záplaty servera SQL Server (pozrite nižšie). Chráni pred 2017-5753 CVE.

Zapnutie funkcie tieňovanie virtuálnych adries jadra (KVAS) sa dôrazne odporúča (pozri nižšie). Chráni pred 2017-5754 CVE.

Povolenie podpory na zmiernenie nepriamej pobočky (IBP) sa dôrazne odporúča (pozri nižšie). Chráni pred 2017-5715 CVE

Odporúčame, aby ste v hostiteľovi vypli funkciu prethreading, ak sa používajú procesory Intel.

4

SQL Server je spustený vo fyzickom počítači

V tom istom počítači nie je spoluhosťovaná ďalšia aplikácia, ktorá vykonáva potenciálne nepriateľský kód

A SQL Server rozšíriteľné rozhrania sa používajú na spustenie DÔVERYHODNÉho kódu. Príklady 

  • Zostavy CLR, ktoré boli skontrolované/schválené na použitie vo výrobe

  • Prepojené servery, ktorým dôverujete, ktorým dôverujete

Iné ako príklady:

  • Ľubovoľné skripty v jazyku R/python stiahnuté z internetu

  • UBinárne súbory ntrusted U od tretej strany

Spoločnosť Microsoft odporúča nainštalovať všetky aktualizácie operačného systému to na ochranu pred CVE 2017-5753.

Spoločnosť Microsoft odporúča nainštalovať všetky aktualizácie operačného systému na ochranu pred zraniteľnými údajmi o mikroarchitektonických údajoch (CVE-2018-12126, CVE-2018-12130, Cve-2018-12127 a CVE-2018-11091).

Zapnutie funkcie tieňovanie virtuálnych adries jadra (KVAS) sa dôrazne odporúča (pozri nižšie). Chráni pred 2017-5754 CVE.

Povolenie podpory na zmiernenie nepriamej pobočky (IBP) sa dôrazne odporúča (pozri nižšie). Chráni pred 2017-5715 CVE

Ak sa používajú procesory Intel, odporúčame vypnúť pretkanie v takomto prostredí.

SQL Server záplaty by mali byť nainštalované ako súčasť normálneho opráv politiky v ďalšej plánovanej aktualizácii okno.

5

SQL Server je spustený v OPERAČNom systéme Linux.

Použite aktualizácie operačného systému Linux od poskytovateľa distribučných služieb.

Použite záplaty Linuxu SQL Server (pozri nižšie). Chráni pred 2017-5753 CVE.

Ďalšie informácie o tom, ako povoliť izoláciu tabuľky stránky jadra Linuxu (KPTI) a IBP (CVEs CVE 2017-5754 a CVE 2017-5715), nájdete nižšie.

Ak sa procesory Intel používajú na #3 scenára a #4 je uvedené vyššie, odporúčame vypnúť prethreading v takomto prostredí.

6

Systém platformy Analytics (APS)

Hoci APS nepodporuje funkcie rozšíriteľnosti zo servera SQL Server, ktoré sú uvedené v tomto bulletine, odporúča sa nainštalovať záplaty systému Windows na zariadenie APS. Povolenie KVAS/IBP nie je povinné.

Poradenské funkcie

Zákazníci sa odporúča, aby vyhodnotili výkonnosť svojej konkrétnej aplikácie pri uplatňovaní aktualizácií.

Spoločnosť Microsoft odporúča všetkým zákazníkom nainštalovať aktualizované verzie SQL servera a Windowsu. Toto by malo mať zanedbateľný vplyv na výkon existujúcich aplikácií na základe testovania zaťaženia SQL v rámci spoločnosti Microsoft. Odporúčame však otestovať všetky aktualizácie pred ich nasadením v produkčnom prostredí.

Spoločnosť Microsoft načítala vplyv funkcie tieňovanie virtuálnych adries jadra (KVAS), nepriameho nasmerovania tabuľky stránok jadra (KPTI) a nepriameho zmenšenia predikcie vetiev (IBP) na rôznych pracovných zaťaženiach SQL v rôznych prostrediach a zistilo sa, že niektoré pracovné zaťaženia s významnou degradáciou Odporúčame otestovať efekt výkonu a povoliť tieto funkcie pred ich nasadením v produkčnom prostredí. Ak je efekt výkonu zapnutia týchto funkcií pre existujúcu aplikáciu príliš vysoký, môžete zvážiť, či nie je možné izolovať SQL Server od nedôveryhodného kódu spusteného v tom istom počítači.

Podrobnejšie informácie o vplyve výkonu z podpory hardvéru na zmiernenie predikcie pobočky (IBP) nájdete tu.

Spoločnosť Microsoft aktualizuje túto sekciu s ďalšími informáciami, keď je k dispozícii.

Povolenie tieňovanie virtuálnych adries jadra (KVAS vo Windowse) a nepriame riadenie tabuľky stránok jadra (KPTI na Linuxe)

KVAS a KPTI zmierňujú v porovnaní s CVE 2017-5754, ktorá sa označuje aj ako "zrútenie" alebo "variant 3" v GPZ zverejnení.

SQL Server je spustený v mnohých prostrediach: fyzické počítače, VMs vo verejných a súkromných cloudových prostrediach, v systémoch Linux a Windows. Bez ohľadu na životné prostredie je program spustený v počítači alebo VM. Zavoláte na túto hranicuzabezpečenia.

Ak má všetky kódy v ohraničení prístup k všetkým údajom v tejto hranici, nie je potrebná žiadna akcia. Ak to tak nie je, hranica sa označuje ako viacero nájomníkov. Zistené chyby zabezpečenia umožňujú každému kódu, a to aj s obmedzenými povoleniami spustenými v akomkoľvek procese v tejto hranici, aby si mohli prečítať všetky ostatné údaje v rámci tejto hranice. Ak sa v hraničnom kóde nedôveryhodného kódu nachádza nejaký proces, môže sa pri čítaní údajov z iných procesov použiť tieto chyby zabezpečenia. Tento nedôveryhodný kód by mohol byť nedôveryhodný kód, ktorý používa mechanizmy rozšíriteľnosti SQL servera alebo iné procesy na hranici, v ktorej je spustený nedôveryhodný kód.

Na ochranu pred nedôveryhodným kódom v hranici s viacerými nájomníkmi použite niektorý z týchto postupov:

  • Odstránenie nedôveryhodného kódu. Ďalšie informácie o tom, ako to urobiť pre SQL Server rozšíriteľné mechanizmy, nájdete nižšie. Ak chcete odstrániť nedôveryhodný kód z iných aplikácií v rovnakej hranici, zvyčajne sa vyžadujú zmeny špecifické pre aplikáciu. Napríklad rozdelenie do dvoch VM.

  • Zapnutie KVAS alebo KPTI. Bude to mať efekt výkonu. Ďalšie informácie, ako je popísané vyššie v tomto článku.

Ďalšie informácie o tom, ako povoliť KVAS pre Windows, nájdete v téme KB4072698. Ďalšie informácie o tom, ako povoliť KPTI na Linuxe, nájdete v téme konzultácie s distribútorom operačného systému.

Príklad scenára, v ktorom sa dôrazne odporúča KVAS alebo KPTI

Lokálny fyzický počítač, ktorý hosťuje SQL Server ako konto iného správcu systému, umožňuje zákazníkom odosielať ľubovoľné R skripty na spustenie cez SQL Server (ktorý používa sekundárne procesy na spustenie týchto skriptov mimo Sqlservr. exe). Je potrebné povoliť KVAS a KPTI tak, aby boli chránené pred zverejňovaním údajov v procese Sqlservr. exe a aby boli chránené pred zverejnením údajov v rámci systémovej pamäte jadra. Poznámka: Mechanizmus rozšíriteľnosti v rámci servera SQL Server sa automaticky nepokladá za bezpečný len preto, lebo sa používa. Tieto mechanizmy je možné bezpečne použiť v rámci SQL servera, ak je každá závislosť zrozumiteľná a dôveryhodná zákazníkom. K dispozícii sú aj ďalšie produkty, ktoré sú postavené v hornej časti SQL, ktoré môžu vyžadovať, aby mechanizmus rozšíriteľnosti fungoval správne. Napríklad balená aplikácia, ktorá je postavená na serveri SQL Server, môže vyžadovať, aby sa pri správnom fungovaní vyhľadala procedúra prepojeného servera alebo CLR. Spoločnosť Microsoft neodporúča, aby ste odstránili tieto súčasti ako súčasť zmiernenia. Namiesto toho skontrolujte, či sa v každom použití zistí, či je tento kód zrozumiteľný a dôveryhodný ako pôvodná akcia. Toto usmernenie je k dispozícii na pomoc zákazníkom pri rozhodovaní o tom, či sú v stave, v ktorom majú povolenie KVAS. Je to preto, lebo táto akcia má výrazné dôsledky na výkon.

Povolenie podpory hardvéru (IBP) nepriameho predikcie vetiev (IBP)

IBP sa zmierňuje v porovnaní s CVE 2017-5715, ktorý sa označuje aj ako polovica Prízraku alebo "variant 2" v GPZ zverejnení.

Pokyny v tomto článku na povolenie KVAS vo Windowse tiež umožňujú IBP. IBP však vyžaduje aj aktualizáciu firmvéru od výrobcu hardvéru. Okrem pokynov v KB4072698 na povolenie ochrany vo Windowse musia zákazníci získať a nainštalovať aktualizácie od výrobcu hardvéru.

Príklad scenára, v ktorom sa dôrazne odporúča IBP

Lokálny fyzický počítač je hostiteľom servera SQL Server spolu s aplikáciou, ktorá umožňuje nedôveryhodným používateľom nahrať a spustiť ľubovoľný kód JavaScriptu. Za predpokladu, že v databáze SQL existujú dôverné údaje, IBP sa dôrazne odporúča ako opatrenie na ochranu pred zverejnením informácií o procese.

V situáciách, v ktorých nie je k dispozícii hardvérová podpora IBP, spoločnosť Microsoft odporúča oddeľovať nedôveryhodné procesy a dôveryhodný proces na rôzne fyzické počítače alebo virtuálne počítače.

Používatelia Linuxu: informácie o tom, ako zabezpečiť ochranu pred variantom 2 (CVE 2017-5715), získate od distribútora operačného systému.

Príklad scenára, v ktorom sa dôrazne odporúča zmiernenie nedostatočného výberu údajov o mikroarchitektonických údajoch

Zoberme si príklad, v ktorom je na lokálnom serveri spustené dva inštancie SQL servera, ktoré sú hostiteľom dvoch rôznych podnikových aplikácií na dvoch rôznych virtuálnych počítačoch na tom istom fyzickom hostiteľovi. Predpokladajme, že tieto dve podnikové aplikácie by nemali byť schopné čítať údaje uložené cez inštancie SQL servera. Útočník, ktorí úspešne využili tieto chyby, môže byť schopný čítať privilegované údaje cez hranice dôveryhodnosti použitím nedôveryhodného kódu spusteného v zariadení ako samostatného procesu alebo nedôveryhodného kódu s použitím mechanizmu rozšíriteľnosti SQL servera (Pozrite si časť nižšie pre možnosti rozšíriteľnosti na serveri SQL Server). V prostrediach zdieľaných zdrojov (napríklad existuje v niektorých konfiguráciách cloudových služieb) môže táto zraniteľnosť povoliť jeden virtuálny počítač nesprávne pristupovať k informáciám z iného. Pri neprehliadaní scenárov v samostatných systémoch by útočník potreboval pred prístupom k systému alebo možnosť spustiť špeciálne vytvorenú aplikáciu v cieľovom systéme, aby sa tieto chyby využívali.

Nedôveryhodné mechanizmy rozšíriteľnosti SQL servera

SQL Server obsahuje množstvo funkcií a mechanizmov rozšíriteľnosti. Väčšina týchto mechanizmov je predvolene vypnutá. Odporúčame však zákazníkom, aby skontrolovali každú výrobnú inštanciu na použitie funkcie rozšíriteľnosti. Odporúčame, aby bola každá z týchto funkcií obmedzená na minimálnu množinu binárnych súborov a aby zákazníci obmedzil prístup, aby sa zabránilo spusteniu ľubovoľného kódu v tom istom počítači ako SQL Server. Zákazníkom odporúčame zistiť, či chcete dôverovať každému binárnemu a vypnúť alebo odstrániť nedôveryhodné binárne súbory.

  • Zostavy CLR SQL

  • Balíky r a python spustené cez mechanizmus externého skriptu alebo spustiť z samostatného štúdia R/Machine Learning Studio v tom istom fyzickom počítači ako SQL Server

  • Body rozšíriteľnosti SQL agenta spustené v tom istom fyzickom počítači ako SQL Server (ActiveX skripty)

  • Poskytovatelia OLE DB, ktorí nie sú členmi spoločnosti Microsoft, sa používajú v prepojených serveroch

  • Nerozšírené uložené procedúry mimo spoločnosti Microsoft

  • Objekty COM spustené v rámci servera (prístupné prostredníctvom sp_OACreate)

  • Programy spustené prostredníctvom xp_cmdshell

Zmenšenie pri používaní nedôveryhodného kódu na serveri SQL Server:

Scenár/použitie prípadu

Zmenšenie alebo navrhované kroky

Spustenie servera SQL Server so zapnutým systémom CLR (sp_configure ' CLR enabled '; 1)

  1. Ak je to možné, vypnite CLR, ak sa v aplikácii nepožaduje zníženie rizika nedôveryhodného kódu naloženého na server SQL Server

  1. (SQL Server 2017 +) Ak je v aplikácii stále potrebné CLR, povoľte načítanie iba konkrétnych zostáv pomocou funkcie "CLR Strict Security" (CLR Strict Security) pomocou sys.sp_add_trusted_assembly (sys.sp_add_trusted_assembly (Transact-SQL))

  1. Zvážte, či sa kód CLR môže migrovať na ekvivalentný kód T-SQL

  1. Skontrolujte povolenia zabezpečenia na uzamknutie scenárov, v ktorých je možné použiť operácie založené na CLR. Obmedziť vytvorenie zostavy, zostavy EXTERNÉho prístupu a povolenia na nebezpečnú zostavu na minimálnu množinu používateľov alebo cesty k kódom na zakázanie načítavania nových zostáv do existujúcej nasadenej aplikácie.

Spustenie externých skriptov v jazyku Java/R/python z SQL servera (sp_configure ' externé skripty zapnuté '; 1)

  1. Ak je to možné, vypnite možnosť externé skripty, ak sa v aplikácii nepotrebujete zmenšiť plochu útoku.

  1. (SQL Server 2017 +) Ak je to možné, migrácia externých skriptov s použitím bodovania na používanie funkcie natívneho bodovania (natívne bodovanie pomocou funkcie predpovedanie T-SQL)

  1. Skontrolujte povolenia zabezpečenia na uzamknutie scenárov, v ktorých možno použiť externé skripty. Obmedziť spustenie akéhokoľvek povolenia EXTERNÉho skriptu na minimálnu množinu používateľov alebo ciest s kódom na zakázanie spúšťania ľubovoľných skriptov.

Používanie prepojených serverov (sp_addlinkedserver)

  1. Preskúmajte nainštalovaných poskytovateľov OLEDB a zvážte odstránenie nedôveryhodných poskytovateľov OLEDB zo zariadenia. (Uistite sa, že neodstránite poskytovateľov OLEDB, ak sa používajú mimo SQL servera v počítači). Príkladom toho, ako enumerovať existujúcich poskytovateľov OLEDB je tu: OleDbEnumerator. GetEnumerator metóda (typ)

  1. Revízia a odstránenie nepotrebných prepojených serverov zo servera SQL Server (sp_dropserver) na zmenšenie možnosti nedôveryhodného kódu spusteného v rámci procesu Sqlservr. exe

  1. Skontrolujte povolenia zabezpečenia na uzamknutie zmeny akéhokoľvek PREPOJENÉho servera na minimálny počet používateľov.

  1. Prezrite si priradenia priradenia a priradenia priradených serverov (sp_addlinkedsvrlogin/sp_droplinkedsvrlogin) na obmedzenie toho, kto môže vykonávať operácie cez prepojené servery na minimálnu množinu používateľov alebo scenáre.

Používanie rozšírených uložených procedúr (sp_addextendedproc)

Keď sú rozšírené uložené procedúry zastarané, odstráňte všetky ich použitia a nepoužívajte ich vo výrobných systémoch.

Používanie xp_cmdshell na vyvolanie binárnych súborov z SQL servera

Táto funkcia je predvolene vypnutá. Preskúmajte a obmedzte všetky použitia xp_cmdshell na vyvolanie nedôveryhodných binárnych súborov. Prístup k tomuto koncovému bodu môžete ovládať pomocou sp_configure, ako je to popísané nižšie:

Možnosť konfigurácie servera xp_cmdshell

 

Používanie objektov COM prostredníctvom sp_OACreate

Táto funkcia je predvolene vypnutá. Objekty COM, na ktoré sa odvoláva sp_OACreate spustiť kód nainštalovaný na serveri. Skontrolujte, či sa všetky takéto hovory nedôveryhodných binárnych súborov. Nastavenia môžete skontrolovať prostredníctvom sp_configure, ako je to popísané tu:

Možnosť konfigurácie servera automatizácie OLE

 
Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkcií Komunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365

Boli tieto informácie užitočné?

Aká je podľa vás jazyková kvalita textu?
Čo sa vám páčilo, prípadne čo nie?
Stlačením tlačidla Odoslať sa vaše pripomienky použijú na zlepšenie produktov a služieb spoločnosti Microsoft. Váš správca IT bude môcť tieto údaje zhromažďovať. Vyhlásenie o ochrane osobných údajov.

Ďakujeme za vaše pripomienky!

×