اطمینان از تنظیم SQL Server برای استفاده از پورتهای غیر استاندارد (Automated)
Profile Applicability
• Level 1 – Database Engine
• Level 1 – AWS RDS
Description
در صورت نصب، یک SQL Server یک پورت پیشفرض مربوط به TCP:1433 برای ارتباطات TCP/IP را assign میکند.
Administratorها همچنین میتوانند instance های نامگذاری شده را به صورت دستی تنظیم نمایند که از TCP: 1433 برای ارتباطات استفاده شود. TCP: 1433 یک پورت SQL Server است که به طور گستردهای شناخته شده است و این انتساب پورت باید تغییر کند.
مستند امن سازی SQL Server 2019 – بخش دوازدهم
در یک سناریوی multi-instance، به هر instance باید پورت اختصاصی TCP / IP اختصاص داده شود.
Rationale
استفاده از پورت غیر پیشفرض به محافظت از دیتابیس در برابر حملاتی که به پورت پیشفرض مربوط میشود کمک مینماید.
Audit
اسکریپت T-SQL زیر را اجرا کنید:
این Query نباید هیچ ردیفی برگرداند.
Remediation
- در SQL Server Configuration Manager، در پنجره console، SQL Server Network Configuration را باز کنید، پروتکلها را برای باز کنید و سپس بر روی پروتکل TCP / IP دوبار کلیک کنید.
- در کادر محاورهای TCP / IP Properties، در تب IP Addresses، چندین آدرس IP در قالب IP1 ، IP2 تا IPAll ظاهر میشوند. یکی از این موارد برای آدرس IP loopback adapter، 127.0.0.0.1 است. آدرسهای IP اضافی برای هر آدرس IP در رایانه ظاهر میشوند.
- در بخش IPAll، قسمت TCP Port را از 1433 به یک پورت غیر استاندارد تغییر دهید یا قسمت TCP Port را خالی بگذارید و مقدار TCP Dynamic Ports را روی 0 تنظیم کنید تا assignment داینامیک فعال شود و سپس بر روی OK کلیک کنید.
- در پنجره کنسول، روی SQL Server Services کلیک کنید.
- در پنجره details، بر روی SQL Server () راست کلیک کرده و سپس روی Restart کلیک کنید، تا SQL Server متوقف و دوباره راه اندازی شود.
Impact
تغییر پورت پیشفرض، DAC (Dedicated Administrator Connection) را مجبور به listen کردن روی یک پورت تصادفی میکند. همچنین، ممکن است برنامههایی مانند برنامههای فایروال، به پیکربندی ویژهای نیاز داشته باشند.
به طور کلی، به جای استفاده از پورتهای داینامیکی که به طور تصادفی در هر راه اندازی SQL Server انتخاب میشوند، باید یک پورت استاتیک برای استفاده مداوم توسط برنامهها، از جمله فایروالها تنظیم کنید.
Default Value
به طور پیشفرض، instance های پیشفرض SQL Server به ترافیک TCP / IP در پورت TCP 1433 گوش میدهند و named instance ها از پورتهای dynamic استفاده میکنند.
نکته
در مورد AWS RDS، این موضوع فقط در مراحل ساخت قابل تنظیم است.
مطالب این بخش برگرفته از مستند امن سازی SQL سرور 2019 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.