اطمینان حاصل کنید که مؤلفه SQL Server در SharePoint برای listen بودن روی پورتهای غیر پیش فرض تنظیم شده است، به طور پیش فرض (UDP 1434 و TCP 1433) غیرفعال باشند.(Not Scored)
Profile Applicability
• Level 1 (L1) – Corporate/Enterprise Environment (general use)
Description
پیشفرض Instance مربوط به listen بودن SQL server برای درخواستهای کلاینتها روی پورت TCP 1433 است. به طور پیشفرض، اتصال رایانههای کلاینت که به SQL Server ابتدا با استفاده از پورت TCP 1433 انجام میشود.
اگر این ارتباط ناموفق باشد، رایانههای کلاینت از SQL Server Resolution Service که روی UDP 1434 در حال گوش دادن است استعلام میگیرند تا مشخص شود پورت مورد نظر روی کدام database instance، listen میباشد.
Rationale
رفتار پیشفرض ارتباط پورت SQL Server چندین مسئله را معرفی میکند که بر امن سازی سرور تأثیر میگذارد. اولاً، پورتهایی که توسط SQL Server مورد استفاده قرار میگیرند، پورتهای کاملاً رایجی هستند و SQL Server Resolution Service هدف حملات buffer overrun و حملات انکار سرویس، از جمله کرم “Slammer” خواهد بود.
حتی اگر SQL Server برای کاهش مشکلات امنیتی در SQL Server Resolution Service بروزرسانی شود، پورتهایی که رایج هستند همچنان یک هدف خواهند بود. دوماً، اگر دیتابیسها بر روی یک named instance مربوط به SQL Server نصب شوند، پورت ارتباطی مربوطه به طور تصادفی assign میشود و میتواند تغییر کند. این رفتار میتواند به طور بالقوه از ارتباط سرور به سرور در یک محیط harden شده جلوگیری کند.
Audit
- بررسی کنید که User account ای که این روش را انجام میدهد عضوی از fixed server role ، sysadmin یا serveradmin است.
- در رایانهای که SQL Server را اجرا میکند به SQL Server Configuration Manager بروید.
- SQL Server Network Configuration را در پنجره navigation باز کنید.
- برای instance ای که در حال بررسی آن هستید، روی ورودی مربوطه کلیک کنید. Instance پیشفرض به عنوان Protocols for MSSQLSERVER لیست شده است. Named instance ها به عنوان Protocols for named_instance ظاهر میشوند.
- در پنجره اصلی در ستون Protocol Name، روی TCP / IP راست کلیک کنید.
- روی Properties کلیک کنید.
- روی تب IP Addresses کلیک کنید. برای هر آدرس IP که به رایانه اجرا کننده SQL Server، assign شده است، یک ورودی مربوطه در این تب وجود دارد. به طور پیشفرض، SQL Server روی تمام آدرسهای IP که به رایانه مذکور اختصاص داده شده، listen میباشد.
برای بررسی global پورتی که instance پیشفرض روی آن listen است، این مراحل را دنبال کنید:
- برای هر آدرس IP به جز IPAll ، همه مقادیر را برای پورتهای TCP dynamic و پورت TCP بررسی کنید.
- برای IPAll ، مقدار را برای پورتهای TCP dynamic بررسی کنید.
برای بررسی global پورتی که named instance روی آن listen است، این مراحل را دنبال کنید:
- برای هر آدرس IP که شامل IPAll است، تمام مقادیر را برای پورتهای TCP dynamic بررسی کنید. مقدار 0 برای این قسمت نشان میدهد که SQL Server از یک پورت dynamic TCP برای آدرس IP استفاده میکند. یک ورودی خالی برای این مقدار به این معنی است که SQL Server از یک پورت dynamic TCP برای آدرس IP استفاده نمیکند.
Remediation
- بررسی کنید که User account ای که این روش را انجام میدهد عضوی از fixed server role ، sysadmin یا serveradmin است.
- در رایانهای که SQL Server را اجرا میکند به SQL Server Configuration Manager بروید.
- SQL Server Network Configuration را در پنجره navigation باز کنید.
- برای instance ای که در حال بررسی آن هستید، روی ورودی مربوطه کلیک کنید. Instance پیشفرض به عنوان Protocols for MSSQLSERVER لیست شده است. Named instance ها به عنوان Protocols for named_instance ظاهر میشوند.
- در پنجره اصلی در ستون Protocol Name ، روی TCP / IP راست کلیک کنید.
- روی Properties کلیک کنید.
- روی تب IP Addresses کلیک کنید. برای هر آدرس IP که به رایانه اجرا کننده SQL Server، assign شده است، یک ورودی مربوطه در این تب وجود دارد. به طور پیشفرض، SQL Server روی تمام آدرسهای IP که به رایانه مذکور اختصاص داده شده، listen میباشد.
برای بررسی global پورتی که instance پیشفرض روی آن listen است، این مراحل را دنبال کنید:
- 1. برای هر آدرس IP به جز IPAll ، تمام مقادیر پورتهای TCP dynamic و پورت TCP را بررسی کنید و تأیید کنید که UDP 1434 و TCP 1433 بلاک شده اند.
- برای IPAll ، مقدار پورتهای TCP dynamic را بررسی کنید و تأیید کنید که UDP 1434 و TCP 1433 بلاک شده اند.
Default Value
هیچ پورتی بلاک نیست.
References
technet.microsoft.com/en-us/library/cc262849.aspx
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.