Microsoft hesabıyla oturum açın
Oturum açın veya hesap oluşturun.
Merhaba,
Farklı bir hesap seçin.
Birden çok hesabınız var
Oturum açmak istediğiniz hesabı seçin.

Özet

Microsoft, pek çok modern işlemciyi ve işletim sistemini etkileyen "speculakyürütme yan kanallı saldırıları" olarak adlandırılan, genel olarak duyurulan bir güvenlik açığının farkındadır. Intel, AMD ve ARM dahildir. Not Bu sorun Android, Chrome, iOS ve MacOS gibi diğer sistemleri de etkiler. Bu nedenle, müşterilerin bu satıcılardan rehberlik

Microsoft, bu güvenlik açıklarının etkilerini azaltmaya yardımcı olacak birkaç güncelleştirme yayımlamıştır. Bulut hizmetlerimizin güvenliğini sağlamak için de eylem yaptık. Daha fazla bilgi için aşağıdaki bölümlere bakın.

Bu güvenlik açıklarının müşterilere saldırmak için kullanıldığına dair herhangi bir bilgi Microsoft'a ulaşmadı. Microsoft, iş ortakları, donanım OEM 'Ler ve uygulama satıcıları gibi endüstri ortaklarıyla birlikte müşterileri koruyacak şekilde bir araya gelmeye devam etmektedir. Kullanılabilir tüm korumaları almak için donanım veya bellenim ile yazılım güncelleştirmeleri gereklidir. Buna cihaz OEM'lerinin mikro kodları ve bazı durumlarda virüsten koruma yazılımlarının güncelleştirilmesi dahildir. Güvenlik açıkları hakkında daha fazla bilgi için Microsoft Güvenlik DANıŞMA ADV180002. Bu güvenlik açığının azaltılmasına yönelik genel yönergeler için , bkz.

Microsoft yayımlanmış ADV190013-Microsoft Mayıs 2019 Mayıs SQL Server, ADV190013 'de açıklanan sorun için belirli bir güvenlik düzeltme eki içermez. Bu makalenin öneriler bölümünde, ADV190013 tarafından etkilenen ortamların yönergelerini bulabilirsiniz. Bu danışma belgesinin yalnızca Intel Işlemcileri için geçerli olduğunu lütfen unutmayın.

Güncelleştirmeyi edinme ve yükleme

Bu güncelleştirme, Windows Server Update Services (WSUS) veya Microsoft Update KataloğuWeb sitesi aracılığıyla da kullanılabilir.Not: Bu güncelleştirme Windows Update aracılığıyla karşıdan yüklenip yüklenmeyecektir.

Kullanılabilir SQL düzeltme ekleri

Yayımlama sırasında, aşağıdaki güncelleştirilmiş SQL Server derlemeleri indirilebilir:

Hizmet verme sürümü

4057122 SQL Server 2017 GDR güvenlik güncelleştirmesinin açıklaması: 3 ocak 2018 4058562: SQL Server 2017 RTM CU3: ocak, 2018 4058561 SQL Server 2016 SP1güvenlik güncelleştirmesinin açıklaması: ocak 2018 4057118 2016 SQL Server 2018 GDR SP1güvenlik güncelleştirmesinin açıklaması: 3 Ocak 4058559 2016 6 Ocak 20184058560: SQL Server 2016 GDR için güvenlik güncelleştirmesinin açıklaması, 20184057117 sql Server 2014 SP2IÇIN güvenlik güncelleştirmesinin açıklaması Ocak, 2018 4057120 SQL Server 2014 sp2 GDR GÜVENLIK güncelleştirmesinin açıklaması : Ocak, 20184057116 SQL Server2012 SP4 GDR güvenlik güncelleştirmesinin açıklaması : 12 Ocak 20184057115 sql Server 2012 SP3 GDR güvenlik güncelleştirmesinin açıklaması:ocak, 2018 4057121 SQL Server 2012 SP3 için güvenlik güncelleştirmesinin açıklaması:Ocak, 20184057114 SQL Server 2008SP4 GDRiçin güvenlik güncelleştirmesinin açıklaması: Ocak 2018 4057113 2008

Diğer güncelleştirilmiş derlemeler kullanılabildiğinde bu belge güncelleştirilecektir.

Notlar

  • SQL Server için tüm gerekli güncelleştirmeler yayımladık ve "Spectre" ve "Meltıyuvarla" specutive yürütme tarafı kanallı güvenlik açıklarını azalttık. Microsoft, "kullanılabilir SQL düzeltme ekleri" bölümünde listelenmeyen bileşenlere yönelik "Spectre" ve "Meltıyuvarla" için ek pozlandırmayı bilmez.

  • Tüm sonraki SQL Server 2014, SQL Server 2016 ve SQL Server 2017 hizmet paketleri ve toplu güncelleştirmeler düzeltmeleri içerir. Örneğin, SQL Server 2016 SP2'DE Spectre ve Meltıyuvarla düzeltmeleri de vardır.

  • Windows derlemeleri için, sağlanan Windows derlemelerinden en son bilgiler için aşağıdaki kılavuza bakın:

    Spectre/Meltıyuvarla yan kanal güvenlik açıkları için Windows Server yönergeleri

    Mikro mimari veri örnekleme güvenlik açıkları Için Windows Server yönergeleri

    Linux yapıları için, Linux satıcınıza başvurup belirli Linux dağılımına yönelik en son güncelleştirilmiş derlemeleri bulun.

  • Spectre ve Meltıyuvarla açıklarını mümkün olduğunca çabuk bir şekilde gidermek için, bu SQL Server güncelleştirmelerinin ilk başta temel teslim modeli olarak Microsoft Indirme merkezi 'ne gönderildiği oldu. Bu güncelleştirmeler Mart 'ta Microsoft Update aracılığıyla teslim edilebilmesine karşın, etkilenen müşterilerin Microsoft Update aracılığıyla kullanıma sunulmalarını beklemeden güncelleştirmeyi şimdi yüklemesini öneririz.

Etkilenen desteklenen SQL Server sürümleri

Microsoft tüm müşterilerinin, normal düzeltme eki özelliklerine sahip olan SQL Server güncelleştirmelerini (aşağıda listelenen) yüklemelerini önerir.  Genişletilebilirlik noktalarının engellendiği ve aynı sunucuda çalışan tüm üçüncü taraf kodunun güvenilir olduğu ve onaylanmadığı güvenli bir ortamda SQL Server çalıştıran müşteriler bu sorundan etkilenmemelidir.

Aşağıdaki SQL Server sürümlerinde x86 ve x64 işlemci sistemlerinde çalıştıklarında kullanılabilir güncelleştirmeler vardır:

  • SQL Server 2008

  • SQL Server 2008

  • SQL Server 2012

  • SQL Server 2014

  • SQL Server 2016

  • SQL Server 2017

IA64 (Microsoft SQL Server 2008) tarafından etkilenebiliriz. Microsoft analitik Platform hizmeti (APS), Microsoft SQL Server 2014 veya Microsoft SQL Server 2016 tabanlı, ancak özellikle etkilenmez. APS için bazı genel yönergeler bu makalenin ilerisinde listelenmiştir.

Önerilerinin

Aşağıdaki tabloda, SQL Server 'ın çalıştığı ortama ve hangi işlevselliğin kullanıldığını bağlı olarak müşterilerin ne yapılması gerektiğini açıklar. Microsoft, düzeltmeleri üretim ortamlarına dağıtmadan önce yeni ikililerini test etmek için olağan yordamlarını kullanarak dağıtmanızı önerir.

Senaryo numarası

Senaryo açıklaması

Öncelik önerileri

2

Azure SQL veritabanı ve veri ambarı

Eylem gerekmiyor (Ayrıntılar için buraya bakın).

2

SQL Server bir fiziksel bilgisayarda veya sanal makinede çalışır

VE aşağıdaki koşullardan hiçbiri doğru değildir:

  • Potansiyel bir kod yürüten başka bir uygulama aynı bilgisayarda birlikte barındırılıyor

  • SQL Server genişletilebilirlik arabirimleri güvenilmeyen kodla kullanılıyor (liste için aşağıya bakın)

 

Microsoft ,CVE 2017-5753 karşısındatüm işletim sistemi güncelleştirmelerinin korunmasını önerir.

Microsoft , mikro mimari veri örnekleme GÜVENLIK açıklarına (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 ve CVE-2018-11091) karşı korunmaya yönelik tüm işletim sistemi güncelleştirmelerini yüklemenizi önerir.

Çekirdek sanal adres gölgeleme (KVAS) ve dolaylı dallanma için Azaltıcı etken donanım desteği (ıOP) gerekmez (aşağıda aşağıya bakın). SQL Server düzeltme eklerinin sonraki zamanlanmış güncelleştirme penceresinde normal düzeltme eki politikasının bir parçası olarak yüklenmesi gerekir.

Bu ana bilgisayarda hiper iş parçacığı kullanmaya devam edebilirsiniz.

@

SQL Server bir fiziksel bilgisayarda veya sanal makinede çalışır

VE istenmeyebilecek kod yürüten başka bir uygulama aynı bilgisayarda birlikte barındırılıyor

VE/veya SQL Server genişletilebilirlik arabirimleri güvenilmeyen kodla kullanılıyor (liste için aşağıya bakın)

 

 

 

Microsoft, CVE 2017-5753 karşısında korunmak için tüm işletim sistemi güncelleştirmelerini yüklemenizi önerir.

Microsoft , mikro mimari veri örnekleme GÜVENLIK açıklarına (CVE-2018-12126, CVE-2018-12130, CVE-2018-12127 ve CVE-2018-11091) karşı korunmaya yönelik tüm işletim sistemi güncelleştirmelerini yüklemenizi önerir.

SQL Server düzeltme eklerini uygulama (aşağıya bakın). Bu, CVE 2017-5753 karşısında koruma sağlar.

Çekirdek sanal adres gölgelendirmeyi (KVAS) etkinleştirme kesinlikle önerilir (aşağıya bakın). Bu, CVE 2017-5754 karşısında koruma sağlar.

Dolaylı dal önermelerini etkinleştirme donanım desteğini (ıOP) kesinlikle tavsiye edilir (aşağıya bakın). Bu, CVE 2017-5715 karşısında korunur

Intel işlemcileri kullanılıyorsa konaktaki hiper iş parçacığı özelliğini devre dışı bırakmanız önerilir.

1.921.024

SQL Server fiziksel bir bilgisayarda çalışır

VE potansiyel olmayan bir kodu çalıştıran başka bir uygulama aynı bilgisayarda ortak barındırılamaz

VE SQL Server genişletilebilirlik arabirimleri, GÜVENILEN kodu yürütmek için kullanılır. Örneklerden 

  • Üretimde kullanılmak üzere gözden geçirilmiş/onaylanmış CLR derlemeleri

  • Güvendiğiniz, güvendiğiniz sorguları çalıştırmaya güvendiğiniz bağlantılı sunucular

Örnek olmayanlar:

  • Internet 'ten indirilen rasgele R/Python betikleri

  • UÜçüncü bir taraftan c nGüvenilen clr ikilileri

Microsoft ,CVE 2017-5753 karşısındatüm işletim sistemi güncelleştirmelerinin korunmasını önerir.

Microsoft , mikro mimari veri örnekleme GÜVENLIK açıklarına (CVE-2018-12126, CVE-2018-12130, Cve-2018-12127 ve CVE-2018-11091) karşı korunmaya yönelik tüm işletim sistemi güncelleştirmelerini yüklemenizi önerir.

Çekirdek sanal adres gölgelendirmeyi (KVAS) etkinleştirme kesinlikle önerilir (aşağıya bakın). Bu, CVE 2017-5754 karşısında koruma sağlar.

Dolaylı dal önermelerini etkinleştirme donanım desteğini (ıOP) kesinlikle tavsiye edilir (aşağıya bakın). Bu, CVE 2017-5715 karşısında korunur

Intel işlemcileri kullanılıyorsa bu ortamlarda hiper iş parçacığı oluşturmayı öneririz.

SQL Server düzeltme eklerinin sonraki zamanlanmış güncelleştirme penceresinde normal düzeltme eki politikasının bir parçası olarak yüklenmesi gerekir.

tir

SQL Server Linux IŞLETIM sisteminde çalışır.

Dağıtım sağlayıcınızdan Linux işletim sistemi güncelleştirmelerini uygulayın.

Linux SQL Server düzeltme eklerini uygulayın (aşağıya bakın). Bu, CVE 2017-5753 karşısında koruma sağlar.

Linux çekirdek sayfa tablosu yalıtımı (KPTI) ve IBP (CVEs CVE 2017-5754 ve CVE 2017-5715) işlevlerinin etkinleştirilip etkinleştirilmeyeceğini öğrenmek için aşağıya bakın.

Senaryo #3 ve yukarıda belirtilen #4 için Intel işlemcileri kullanılıyorsa bu ortamlarda hiper iş parçacığı oluşturmayı öneririz.

+

Analitik platform sistemi (APS)

APS, bu bültende listelenen SQL Server 'dan genişletilebilirlik özelliklerini desteklememesine karşın, Windows düzeltme eklerini APS uygulamasına yüklemeniz önerilir. KVAS/ıOP 'yi etkinleştirme gerekli değildir.

Performans Danışmanlığı

Müşterilerin, güncelleştirmeleri uygularken belirli uygulamalarının performansını değerlendirmesi önerilir.

Microsoft tüm müşterilerin SQL Server ve Windows 'un güncelleştirilmiş sürümlerini yüklemesini önerir. Bu, Microsoft SQL iş yüklerinin testi temelinde mevcut uygulamalarda en çok uygun olmayan performans etkisine sahip olmalıdır. Ancak, bir üretim ortamına dağıtmadan önce tüm güncelleştirmeleri sınamanızı öneririz.

Microsoft çeşitli ortamlardaki çeşitli SQL iş yüklerinden çekirdek sanal adres gölgeleme (KVAS), çekirdek sayfa tablosu dolaylı (KPTI) ve dolaylı dallanma önleşmesi Bu özellikleri üretim ortamında dağıtmadan önce etkinleştirmenin performans etkisini sınamanızı öneririz. Bu özellikleri etkinleştirmenin performans etkisi varolan bir uygulama için çok yüksekse, aynı bilgisayarda çalışan güvenilir olmayan koddan SQL Server 'ın yalıyalıyor olup olmadığını düşünebilirsiniz.

Dolaylı dallandırmaylailgili performans ile ilgili daha fazla bilgi

Microsoft bu bölümü, kullanılabilir olduğunda daha fazla bilgi ile güncelleştirecek.

Çekirdek sanal adres gölgelendirmeyi (Windows 'da KVAS) ve çekirdek sayfa tablosu yöneltme (KPTI)

KVAS ve KPTI, GPZ 'de "Meltıyuvarla" veya "Variant 3" olarak da bilinen CVE 2017-5754 karşısında azaltmasına neden olur.

SQL Server birçok ortamda çalışır: fiziksel bilgisayarlar, ortak ve özel bulut ortamlarındaki VM 'Ler ve Windows sistemlerinde. Ortamdan bağımsız olarak, program bilgisayarda veya VM 'de çalıştırılır. Bu güvenlik sınırınıarayın.

Sınırındaki tüm kodun bu sınırın içindeki tüm verilere erişimi varsa, herhangi bir işlem yapmanız gerekmez. Bu değilse, sınır çok kiracılıolarak kabul edilir.Güvenlik açıkları, bu sınırın içindeki herhangi bir işlemde çalışan ve bu sınırın içindeki diğer verileri okumak için, azaltılmış izinlerle birlikte, bu sınırın üzerinde herhangi bir işlemde çalışan tüm kodlar için mümkün olmasını sağlayacak. Güvenli olmayan kod çalıştıran sınırda herhangi bir işlem varsa, bu güvenlik açıklarını kullanarak diğer işlemlerden verileri okuyabilir. Bu güvenilmeyen kod, SQL Server genişletilebilirlik mekanizmalarını veya güvenli olmayan kod çalıştıran sınırındaki diğer işlemleri kullanan güvenilmeyen kod olabilir.

Çok kiracılı bir sınırın güvenilir olmayan koduna karşı korunmak için aşağıdaki yöntemlerden birini kullanın

  • Güvenilmeyen kodu kaldırın. SQL Server genişletilebilirlik mekanizmaları için bunu yapma hakkında daha fazla bilgi için aşağıya bakın. Başka uygulamalardan aynı sınırın içerdiği güvenilmeyen kodu kaldırmak için, uygulamaya özgü değişiklikler genellikle gereklidir. Örneğin, iki VM 'ye ayırma.

  • KVAS veya KPTI 'i açın. Bunun bir performans etkisi olacaktır. Daha fazla bilgi için bu makalenin önceki kısımlarında açıklandığı gibi.

Windows için KVAS 'i etkinleştirme hakkında daha fazla bilgi için bkz. KB4072698. Linux 'ta KPTI 'i etkinleştirme hakkında daha fazla bilgi için, işletim sistemi dağıtıcısına danışın.

KVAS veya KPTI kesinlikle tavsiye edilen senaryo örneği

Bir şirket içi yönetici hesabı olarak SQL Server 'ı barındıran şirket içi bir fiziksel bilgisayar, müşterilerin SQL Server aracılığıyla çalışacak şekilde rasgele R dosyaları göndermesine olanak tanır (Bu komut dosyalarını sqlservr. exe dışında çalıştırmak için ikincil süreçler kullanır). Sqlservr. exe sürecindeki verilerin açığa çıkmasına ve sistem çekirdek belleğindeki verilerin açıklanmasını korumamıza olanak tanımak için KVAS ve KPTI 'i etkinleştirmeniz gerekir. Not SQL Server 'daki bir genişletilebilirlik mekanizması kullanımda olduğu için otomatik olarak güvensiz kabul edilmez. Bu mekanizmalar, her bağımlılık anlaşıldıkça ve güvenilir şekilde sağlandığı sürece SQL Server 'da güvenle kullanılabilir. Ayrıca, SQL 'in üzerinde geliştirilen ve genişletilebilirlik mekanizmaları 'nın düzgün çalışması gerekebilecek başka ürünler de vardır. Örneğin, SQL Server 'da oluşturulmuş bir paketlenmiş uygulama, doğru çalışması için bağlı bir sunucu veya CLR saklı yordamı gerektirebilir. Microsoft bunları azaltma konusunda bunları kaldırmanız önerilmez. Bunun yerine, bu kodun ilk eylem olarak anlaşılıp güvenilir olup olmadığını belirlemek için her kullanımı gözden geçirin. Bu kılavuz, müşterilerin KVAS 'i etkinleştirmeleri durumunda olup olmadıklarını belirlemesine yardımcı olmak için sağlanmıştır. Bunun nedeni bu eylemin önemli performans etkilerine sahip olmamasıdır.

Dolaylı dal öngörü azaltma (ıOP) donanım desteğini etkinleştirme

Spectre 'in bir yarısı olarak da bilinen ı2017-5715 op (veya

Windows 'da KVAS 'ı etkinleştirmek için bu makaledeki yönergeler, ıOP 'yi de etkinleştirir. Ancak, ıOP donanım üreticinizden bir bellenim güncelleştirmesi gerektirir. Windows 'da korumayı etkinleştirmek için KB4072698 'daki yönergelere ek olarak, müşterilerimiz, güncelleştirmeleri donanım üreticisinden edinip yüklemelidir.

IOP 'nin kesinlikle önerildiği bir senaryo örneği

Şirket içi bir fiziksel bilgisayar, güvenilir olmayan kullanıcıların rasgele JavaScript kodu yüklemesini ve yürütmesini sağlayan bir uygulamanın yanı sıra SQL Server 'ı barındırıyor. SQL veritabanında gizli verilerin bulunduğunu varsayarsak, işleme bilgilerinin açığa çıkmasına karşı korunmaya yönelik bir ölçü olarak ıOP kesinlikle önerilir.

Microsoft, ıOP donanım desteğinin olmadığı durumlarda, güvenilmeyen işlemlerin ve güvenilen işlemin farklı fiziksel bilgisayarlara veya sanal makinelere kullanılmasını önerir.

Linux kullanıcıları: VARIANT 2 (CVE 2017-5715) karşısında korunma hakkında bilgi için işletim sistemi dağıtıcısına başvurun.

Mikro mimari veri örnekleme güvenlik açıklarının kesinlikle önerildiğini belirten senaryo örneği

Aynı fiziksel konaktaki iki farklı sanal makinede iki farklı iş uygulamasını barındıran iki farklı iş uygulamasını çalıştıran bir şirket içi sunucu örneği Bu iki iş uygulamasının SQL Server örneklerinde depolanan verileri okuyamamalıdır. Bu açıklardan başarıyla yararlanan bir saldırgan, makinede çalışan güvenilir olmayan kod ile SQL Server genişletilebilirlik mekanizması kullanılarak yürütülen güvenilir olmayan kod kullanarak, güven sınırları genelinde ayrıcalıklı verileri okuyabilir (SQL Server 'daki genişletilebilirlik seçenekleri için aşağıdaki bölüme bakın). Paylaşılan kaynak ortamlarında (bazı bulut hizmetleri yapılandırmalarında var olduğu gibi), bu güvenlik açıkları, bir sanal makinenin başka bir yerden bilgilere düzgün bir şekilde erişmesini sağlayabilir. Tek başına sistemlerde gözatma dışı senaryolarda, saldırganın bu açıklardan yararlanmak için sisteme önceki erişim veya hedef sistemdeki özel hazırlanmış bir uygulamayı çalıştırmasına ihtiyacı vardır.

Güvenilmeyen SQL Server genişletilebilirlik mekanizmaları

SQL Server birçok genişletilebilirlik özelliği ve mekanizması içerir. Bu düzeneklerinin çoğu varsayılan olarak devre dışıdır. Ancak, müşterilerin genişletilebilirlik özellik kullanımı için her bir üretim örneğini gözden geçirmesine tavsiye ediyoruz. Bu özelliklerin her birinin en küçük ikili dosyalarla sınırlanmasını öneririz ve bu müşterilerin SQL Server ile aynı bilgisayarda çalışmasını engelleyen erişimi kısıtlar. Müşterilerinize her ikiliye güvenip güvenmeyeceğinizi ve güvenilmeyen ikililerin devre dışı bırakılacağını veya kaldırıldığını belirlemesini öneririz.

  • SQL CLR derlemeleri

  • Dış komut dosyaları mekanizması aracılığıyla çalışan r ve Python paketleri SQL Server ile aynı fiziksel bilgisayarda tek başına R/makine Learning Studio 'dan çalışıyor

  • SQL Server (ActiveX komut dosyaları) ile aynı fiziksel bilgisayarda çalışan SQL Agent genişletilebilirlik noktaları

  • Bağlantılı sunucularda kullanılan Microsoft dışı OLE DB sağlayıcıları

  • Microsoft dışı genişletilmiş saklı yordamları

  • Sunucu içinde yürütülen COM nesneleri (sp_OACreate üzerinden erişilen)

  • Xp_cmdshell üzerinden yürütülen programlar

SQL Server 'da güvenilir olmayan kod kullanırken gerçekleştirilecek Azaltıcı Etkenler:

Senaryo/kullanım durumu

Azaltıcı Etkenler veya önerilen adımlar

SQL Server 'ı CLR etkinleştirilmiş olarak çalıştırma (sp_configure ' CLR etkinleştirildi ', 1)

  1. Mümkünse, SQL Server 'a yüklenen güvenilmeyen kodların riskini azaltmak için, uygulamanızda gerekli değilse CLR 'yi devre dışı bırakın

  1. (SQL Server 2017 +) Yine de, uygulamanızda CLR gerekliyse, yalnızca belirli derlemelerin "CLR Strict SECURITY" özelliğini (clr Strict Security) kullanarak sys.sp_add_trusted_assembly (sys.sp_add_trusted_assembly (Transact-SQL)).

  1. CLR kodunun T-SQL eşdeğer koduna geçirilemeyeceğini düşünün

  1. CLR tabanlı işlemlerin kullanılabileceği senaryoları kilitlemek için güvenlik izinlerini gözden geçirin. En az Kullanıcı veya kod yolu kümesi için, varolan, dağıtılmış bir uygulamada yeni derlemeler yüklenmesine izin vermemek için derleme, dış ERIŞIM DERLEMESI ve GÜVENSIZ derleme izinlerini sınırlayın.

SQL Server 'ın içinden Java/R/Python dış betikleri çalıştırma (sp_configure ' dış komut dosyaları etkinleştirildi ', 1)

  1. Mümkünse, Attack Surface alanını azaltmak için uygulamanızda gerekmiyorsa dış komut dosyalarını devre dışı bırakın.

  1. (SQL Server 2017 +) Mümkünse, yerel Puanlama özelliğini kullanmak için dış komut dosyalarını geçirin, bunun yerine yerel skor özelliğini kullanın (Bu-SQL 'ı tahmin eden doğal skor işlevi)

  1. Dış komut dosyalarının kullanılabileceği senaryoları kilitlemek için güvenlik izinlerini gözden geçirin. Limit rasgele komut dosyalarının yürütülmesini engellemek için tüm dış komut dosyası izinlerini en az Kullanıcı/kod yolu kümesine yürütün.

Bağlı sunucuları kullanma (sp_addlinkedserver)

  1. Yüklü OLEDB sağlayıcılarını gözden geçirin ve makineden güvenilmeyen OLEDB sağlayıcılarını kaldırabilirsiniz. (Makinede SQL Server dışında kullanılıyorsa OLEDB sağlayıcılarını kaldırmayın. Var olan OLEDB sağlayıcılarının nasıl numaralandırılacağı hakkında örnek: OleDbEnumerator. GetEnumerator Yöntemi (tür)

  1. SQL Server 'dan (sp_dropserver), sqlservr. exe işleminde yürütülen tüm güvenilmeyen kodların olasılığını azaltmak için gereksiz bağlantılı sunucuları gözden geçirin ve kaldırın

  1. Tüm bağlı sunucu izinlerini kilitlemek için güvenlik izinlerini gözden geçirin.

  1. Bağlı sunucu oturum açma/kimlik bilgileri eşlemelerini (sp_addlinkedsvrlogin/sp_droplinkedsvrlogin), bağlı sunucular üzerinden işlemleri en az Kullanıcı/senaryo kümesiyle kimlerin çalıştırabileceğinizi sınırlandırmak için gözden geçirin.

Genişletilmiş saklı yordamları kullanma (sp_addextendedproc)

Genişletilmiş saklı yordamlar kullanım dışı olduğundan, bunları üretim sistemlerinde kullanmayın.

SQL Server 'dan ikili dosyaları başlatmak için xp_cmdshell kullanma

Bu özellik varsayılan olarak kapalıdır. Güvenilir olmayan ikili dosyaların çalıştırılabilmesi için tüm xp_cmdshell kullanımını gözden geçirip kısıtlayın. Burada açıklandığı gibi sp_configure ile bu uç noktaya erişimi denetleyebilirsiniz:

xp_cmdshell Server yapılandırma seçeneği

 

COM nesnelerini sp_OACreate aracılığıyla kullanma

Bu özellik varsayılan olarak kapalıdır. Sunucuda yüklü olan sp_OACreate yürütme kodu aracılığıyla çağrılan COM nesneleri. Güvenilmeyen ikililer için bu tür çağrıları gözden geçirin. Ayarları sp_configure ile buradan denetleyebilirsiniz:

OLE Otomasyonu yordamları sunucu yapılandırma seçeneği

 
Facebook LinkedIn E-posta
RSS AKIŞLARINA ABONE OLUN

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Keşfedin Topluluk

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.

Microsoft Topluluğu'na sorun

Microsoft Tech Topluluğu

Windows Insider'lar

Microsoft 365 Insider'lar

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?
Gönder’e bastığınızda, geri bildiriminiz Microsoft ürün ve hizmetlerini geliştirmek için kullanılır. BT yöneticiniz bu verileri toplayabilecek. Gizlilik Bildirimi.

Geri bildiriminiz için teşekkürler!

×