امن سازی SharePoint 2019 – بخش سی و یکم

اطمینان حاصل کنید که مؤلفه SQL Server در SharePoint برای listen بودن روی پورت‌های غیر پیش فرض تنظیم شده است، به طور پیش فرض (UDP 1434 و TCP 1433) غیرفعال باشند.(Not Scored)

Profile Applicability

• Level 1 (L1) – Corporate/Enterprise Environment (general use)

Description

پیش‌فرض Instance مربوط به listen بودن SQL server برای درخواست‌های کلاینت‌ها روی پورت TCP 1433 است. به طور پیش‌فرض، اتصال رایانه‌های کلاینت که به SQL Server ابتدا با استفاده از پورت TCP 1433 انجام می‌شود.

اگر این ارتباط ناموفق باشد، رایانه‌های کلاینت از SQL Server Resolution Service که روی UDP 1434 در حال گوش دادن است استعلام می‌گیرند تا مشخص شود پورت مورد نظر روی کدام database instance، listen می‌باشد.

Rationale

رفتار پیش‌فرض ارتباط پورت SQL Server چندین مسئله را معرفی می‌کند که بر امن سازی سرور تأثیر می‌گذارد. اولاً، پورت‌هایی که توسط SQL Server مورد استفاده قرار می‌گیرند، پورت‌های کاملاً رایجی هستند و SQL Server Resolution Service هدف حملات buffer overrun و حملات انکار سرویس، از جمله کرم “Slammer” خواهد بود.

حتی اگر SQL Server برای کاهش مشکلات امنیتی در SQL Server Resolution Service بروزرسانی شود، پورت‌هایی که رایج هستند همچنان یک هدف خواهند بود. دوماً، اگر دیتابیس‌ها بر روی یک named instance مربوط به SQL Server نصب شوند، پورت ارتباطی مربوطه به طور تصادفی assign می‌شود و می‌تواند تغییر کند. این رفتار می‌تواند به طور بالقوه از ارتباط سرور به سرور در یک محیط harden شده جلوگیری کند.

Audit

  1. بررسی کنید که User account ای که این روش را انجام می‌دهد عضوی از fixed server role ، sysadmin یا serveradmin است.
  2. در رایانه‌ای که SQL Server را اجرا می‌کند به SQL Server Configuration Manager بروید.
  3. SQL Server Network Configuration را در پنجره navigation باز کنید.
  4. برای instance ای که در حال بررسی آن هستید، روی ورودی مربوطه کلیک کنید. Instance پیش‌فرض به عنوان Protocols for MSSQLSERVER لیست شده است. Named instance ها به عنوان Protocols for named_instance ظاهر می‌شوند.
  5. در پنجره اصلی در ستون Protocol Name، روی TCP / IP راست کلیک کنید.
  6. روی Properties کلیک کنید.
  7. روی تب IP Addresses کلیک کنید. برای هر آدرس IP که به رایانه اجرا کننده SQL Server، assign شده است، یک ورودی مربوطه در این تب وجود دارد. به طور پیش‌فرض، SQL Server روی تمام آدرس‌های IP که به رایانه مذکور اختصاص داده شده، listen می‌باشد.

برای بررسی global پورتی که instance پیش‌فرض روی آن listen است، این مراحل را دنبال کنید:

  1. برای هر آدرس IP به جز IPAll ، همه مقادیر را برای پورت‌های TCP dynamic و پورت TCP بررسی کنید.
  2. برای IPAll ، مقدار را برای پورت‌های TCP dynamic بررسی کنید.

برای بررسی global پورتی که named instance روی آن listen است، این مراحل را دنبال کنید:

  1. برای هر آدرس IP که شامل IPAll است، تمام مقادیر را برای پورت‌های TCP dynamic بررسی کنید. مقدار 0 برای این قسمت نشان می‌دهد که SQL Server از یک پورت dynamic TCP برای آدرس IP استفاده می‌کند. یک ورودی خالی برای این مقدار به این معنی است که SQL Server از یک پورت dynamic TCP برای آدرس IP استفاده نمی‌کند.

Remediation

  1. بررسی کنید که User account ای که این روش را انجام می‌دهد عضوی از fixed server role ، sysadmin یا serveradmin است.
  2. در رایانه‌ای که SQL Server را اجرا می‌کند به SQL Server Configuration Manager بروید.
  3. SQL Server Network Configuration را در پنجره navigation باز کنید.
  4. برای instance ای که در حال بررسی آن هستید، روی ورودی مربوطه کلیک کنید. Instance پیش‌فرض به عنوان Protocols for MSSQLSERVER لیست شده است. Named instance ها به عنوان Protocols for named_instance ظاهر می‌شوند.
  5. در پنجره اصلی در ستون Protocol Name ، روی TCP / IP راست کلیک کنید.
  6. روی Properties کلیک کنید.
  7. روی تب IP Addresses کلیک کنید. برای هر آدرس IP که به رایانه اجرا کننده SQL Server، assign شده است، یک ورودی مربوطه در این تب وجود دارد. به طور پیش‌فرض، SQL Server روی تمام آدرس‌های IP که به رایانه مذکور اختصاص داده شده، listen می‌باشد.

برای بررسی global پورتی که instance پیش‌فرض روی آن listen است، این مراحل را دنبال کنید:

  1. 1. برای هر آدرس IP به جز IPAll ، تمام مقادیر پورت‌های TCP dynamic و پورت TCP را بررسی کنید و تأیید کنید که UDP 1434 و TCP 1433 بلاک شده اند.
  2. برای IPAll ، مقدار پورت‌های TCP dynamic را بررسی کنید و تأیید کنید که UDP 1434 و TCP 1433 بلاک شده اند.

Default Value

هیچ پورتی بلاک نیست.

References

technet.microsoft.com/en-us/library/cc262849.aspx

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید