Рекомендации
Для устранения описанной уязвимости и снижения риска от проникновения нарушителя на сервер с установленной СУБД MS SQL рекомендуется:
Четко разграничить производственную и тестовую среду (среду разработки). Производственные сервера не должны содержать тестовых баз данных или инструментария разработчиков. Исключить возможность совмещения различных корпоративных сервисов на сервере с установленной СУБД MS SQL. Использовать сложные пароли для административных учетных записей как операционной системы, так и СУБД - не менее 15 символов, содержащих буквы в разных регистрах, цифры и специальные символамы. Удалить из пользователей MS SQL группу "Администраторы" операционной системы и четко прописать, какие учетные записи операционной системы имеют доступ к базам данных. Избегать предоставления доступа к расширенным хранимым процедурам для пользователей СУБД. Использовать привилегированные учетные записи СУБД только для выполнения административных задач. Запускать процесс MS SQL Server с правами учетной записи непривилегированного пользователя. Это серьезно усложнит проникновение в систему, так как потенциальный нарушитель в лучшем случае сможет выполнять команды только как пользователь с ограниченными привилегиями. Протоколировать системные события MS SQL Server, что позволит упростить процесс слежения за действиями потенциального нарушителя. Регулярно устанавливать обновления операционной системы Windows и СУБД MS SQL. Ограничить с помощью межсетевого экрана доступ к портам MS SQL для пользователей, не использующих этот сервис.
Содержание раздела
