Самостійна робота. Тема 3. Налаштування поверхні атаки

План лекції

Тема 3. Налаштування поверхні атаки. доступу до сервера і мережевих протоколів sql server 2005

Лекція № 3

1. Попереднє налаштування. Використання SQL Server 2005 Surface Area Configuration. Підключення до видаленої системи SQL Server..

2. Налаштування параметрів служб.Налаштування параметрів з'єднань.

Управління доступом до функціональних можливостей компонентів.

3. Налаштування служб SQL Server. Управління станом ітипом запуску служб. Налаштування облікових записів для запуску служб.

4. Налаштування каталогу дампу, звіту про помилки і звіту про відгуки і пропозиціях користувачів.

5. Налаштування мережевих протоколів для сервера і клієнта. Налаштування протоколу сервера Shared Memory. Налаштування протоколу сервера Named Pipes.

6. Налаштування протоколу сервера TCP/IP. Налаштування порядку використання протоколів клієнта.

7. Налаштування протоколу клієнта Shared Memory. Налаштування протоколу клієнта TCP/IP.

Зміст лекції

3.1. Попереднє налаштування. Використання SQL Server 2005 Surface Area Configuration. Підключення до видаленої системи SQL Server.

Налаштування поверхні атаки, доступу до сервера і мережевих протоколів.

При управлінні доступом до сервера слід звернути особливу увагу на налаштування служб, компонентів і мережевих протоколів SQL Server, оскільки для кожного екземпляра SQL Server це можна виконати індивідуально. Ці налаштування встановлюють рівень безпеки і безпосередньо впливають на поверхню атаки сервера. Вони визначають:

· хто і яким чином може дістати доступ до сервера;

· які служби SQL Server запускаються автоматично при завантаженні системи, а які - вручну з потреби;

· яким чином компоненти SQL Server можуть підключатися до видалених ресурсів або бути доступними для підключення з видалених ресурсів.

Обмежуючи таким чином доступ до деяких ресурсів сервера, ви зменшуєте його поверхню атаки, уразливу для зловмисних дій, що посилює безпеку сервера, а також сприяє підвищенню загальної продуктивності, оскільки використовуватимуться тільки необхідні служби і компоненти.

Доступ клієнтів до SQL Server управляється за допомогою налаштування параметрів мережевих протоколів клієнта. Доступ SQL Server до локальних або видалених ресурсів управляється за допомогою налаштування служб і мережевих протоколів сервера. Можна управляти доступом клієнтів, службами SQL Server і мережевими налаштуваннями, використовуючи утиліти SQL Server 2005 Surface Area Configuration або SQL Server Configuration Manager. Оптимально, коли вони використовуються спільно, про що і буде розказано в цій главі.

Попереднє налаштування

Утиліти SQL Server 2005 Surface Area Configuration і SQL Server Configuration Manager знаходяться в меню Start (Пуск). Дістати до них доступ можна, відкривши командою Programs (Програми) або All Programs (Усі програми) теку Microsoft SQL Server 2005. Щоб запустити кожну утиліту окремо, треба набрати в командному рядку команду sqlsac або sqlservermanager.msc. За умовчанням обидві утиліти підключаються до локального комп'ютера. SQL Server 2005 Surface Area Configuration можна використовувати для налаштування видаленого комп'ютера. Для цього наберіть команду:

Sqlsac remote_computer

де remote_computer - ім'я або адреса IP видаленого комп'ютера, з яким необхідно працювати, наприклад:

Sqlsac CorpSvr04

Рада За умовчанням виконуваний файл SQL Server 2005 Surface Area Configuration - Sqlsac.exe - знаходиться в каталозі %Program Files%\Microsoft SQL Server\90\Shared. Цей каталог за умовчанням не додається в дорогу пошуку (PATH), тобто в список каталогів, де операційна система шукає виконувані файли. Якщо планується використовувати цю утиліту, можна додати каталог в дорогу пошуку, виконавши наступну послідовність дій.

Відкрийте вікно командного рядка. Зміните поточний каталог диска C, ввівши команду:

cd c:\

Збережете поточний шлях пошуку у файл, набравши команду:

path > origpath.txt

Використовуйте наступну команду, щоб змінити шлях пошуку для поточного сеансу командного рядка:

path = %path%;%ProgramFiles%\Microsoft SQL Server\90\Shared

Перевірте правильність установки шляху пошуку такою командою:

path

Запишіть поточний шлях пошуку в системний реєстр, набравши команду*:

setx PATH "%PATH%"

При введенні команд точно дотримуйтеся вказаних вище за регістр і синтаксис.

Використання SQL Server 2005 Surface Area Configuration

При запуску SQL Server 2005 Surface Area Configuration відображується головне вікно (мал. 3-1). Ця утиліта може виконувати декілька основних завдань:

· підключатися до певного сервера SQL Server;

· настроювати параметри служб певного сервера;

· настроювати параметри з'єднань з певним сервером;

· настроювати функціональні можливості різних компонентів SQL Server.

Мал. 3-1. Головне вікно утиліти SQL Server 2005 Surface Area Configuration

Підключення до видаленої системи SQL Server

За умовчанням утиліта SQL Server 2005 Surface Area Configuration при запуску підключається до локального комп'ютера. Можна змінити комп'ютер, з яким виконується робота, клацнувши посилання Change Computer (Змінити комп'ютер), представлене в головному вікні. Відобразиться діалогове вікно Select Computer (Вибір комп'ютера), показане на мал. 3-2. Якщо необхідно управляти конфігурацією того ж комп'ютера, на якому запущена ця утиліта, виберіть положення перемикача Local Computer (Локальний комп'ютер) і клацніть кнопку OK. Якщо ж треба управляти налаштуванням видаленого комп'ютера, виберіть положення перемикача Remote Computer (Видалений комп'ютер), введіть ім'я видаленого комп'ютера, наприклад DBSvr05, потім клацніть кнопку OK.

Мал. 3-2. Діалогове вікно Select Computer

3.2. Налаштування параметрів служб.Налаштування параметрів з'єднань. Управління доступом до функціональних можливостей компонентів.

Налаштування параметрів служб

SQL Server 2005 Surface Area Configuration можна також використовувати для перегляду і установки типу запуску служб SQL Server. Запустите SQL Server 2005 Surface Area Configuration, потім клацніть посилання Surface Area Configuration For Services And Connections (Налаштування поверхні атаки для служб і з'єднань), яке знаходиться в головному вікні. Відобразиться діалогове вікно Surface Area Configuration For Services And Connections (Налаштування поверхні атаки для служб і з'єднань), після чого буде вироблено визначення конфігурація служб і з'єднань для усіх запущених екземплярів SQL Server 2005 на комп'ютері, з яким встановлено з'єднання. Коли визначення буде закінчено, в лівій частині діалогового вікна у вигляді ієрархічної структури відобразиться список усіх виявлених служб і компонентів. Для організації елементів дерева в необхідному порядку (мал. 3-3) використовуйте одну з вкладок: View by instance (Перегляд по екземплярах) або View by component (Перегляд по компонентах).

Залежно від встановлених компонентів можуть бути відображені наступні елементи списку.

Database Engine (Ядро бази даних) Запускається як служба з ім'ям SQL Server (instance_name), що виводиться, де instance_name - ім'я екземпляра. Виконуваним файлом для цієї служби є Sqlservr.exe, який запускається для екземпляра, вказаного у цей момент в командному рядку, наприклад для екземпляра за умовчанням MSSQLSERVER:

""C:\Program Files\Microsoft SQLServer\MSSQL.1\MSSQL\Binn\ sqlservr.exe" - sMSSQLSERVER

Мал. 3-3. Параметри конфігурації поверхні атаки

Примітка Незважаючи на те що деякі компоненти, такі як ядро бази даних, можна запускати з командного рядка, зазвичай це робиться за допомогою відповідної графічної утиліти адміністрування або команди NET START. При запуску ядра бази даних вручну вказуються певні параметри (детально описані в главі 4). Також їх можна встановити, двічі клацнувши мишачу службу SQL Server для екземпляра, з яким вимагається працювати, в компоненті панелі управління Services (Служби). У діалоговому вікні service_name (computer_name) - properties, де service_name - ім'я служби, що виводиться, computer_name - ім'я комп'ютера, клацніть кнопку Stop (Стоп) для зупинки служби (якщо вона працює). Введіть параметри в поле Start Parameters (Параметри запуску), потім клацніть кнопку Start (Пуск) для запуску служби. 15.02.

Analysis Services (Аналітичні служби) Запускається як служба з ім'ям SQL Server Analysis Services (instance_name), що виводиться, де instance_name - ім'я екземпляра. Виконуваним файлом для цієї служби є Msmdsrv.exe; крім того, служба використовує певний файл ініціалізації, вказаний в командному рядку при запуску, наприклад:

""C:\Program Files\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe" - s "C:\Program Files\Microsoft SQLServer\MSSQL.2\OLAP\Config\msmdsrv.ini"

Файл ініціалізації (Msmdsrv.ini) визначається за допомогою мови розмітки XML; не слід редагувати його вручну.

Reporting Services (Служби звітів) Запускається як служба з ім'ям Report Server (instance_name), що виводиться, де instance_ame - ім'я екземпляра. Виконуваним файлом для неї є ReportingServicesService.exe, що запускається набором командного рядка, подібного до наступної:

""C:\Program Files\Microsoft SQL Server\MSSQL.3\ReportingServices\ReportServer\bin\ ReportingServicesService.exe"

SQL Server Agent (Агент SQL Server) Запускається як служба з ім'ям SQL Server Agent (instance_name), що виводиться, де instance_name - ім'я екземпляра. Виконуваним файлом для неї є Sqlagent90.exe, який запускається для екземпляра, вказаного у цей момент в командному рядку, наприклад:

""C:\Program Files\Microsoft SQLServer\MSSQL.1\MSSQL\Binn\

SQLAGENT90.EXE" - i MSSQLSERVER

Full - Text Search (Повнотекстовий пошук) Запускається як служба з ім'ям SQL Server FullText Search (instance_name), що виводиться, де instance_name - ім'я екземпляра. Виконуваним файлом для неї є Msftesql.exe, який запускається для екземпляра, вказаного у цей момент в командному рядку, наприклад:

""C:\Program Files\Microsoft SQLServer\MSSQL.1\MSSQL\Binn\ msftesql.exe" - s: MSSQL.1 - f: MSSQLSERVER

Integration Services (Служби інтеграції) Запускається як служба з ім'ям SQL Server Integration Services, що виводиться. Виконуваним файлом для неї є Msdtssrvr.exe, який запускається набором командного рядка, подібного до наступної,:

""C:\Program Files\Microsoft SQL Server\90\DTS\Binn\MsDtsSrvr.exe"

SQL Server Browser (Оглядач SQL Server) Запускається як служба з ім'ям SQL Server Browser, що виводиться. Виконуваним файлом для неї є Sqlbrowser.exe, який запускається набором командного рядка, подібного до наступної,:

""C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe"

Для перегляду стану якої-небудь служби розкрийте вузол (вузли), відповідний компоненту екземпляра SQL Server, з яким працюватимете. При виборі компонента або служби відображуються детальні дані про них, включаючи такі:

· Service Name (Ім'я служби) - внутрішнє ім'я служби, використовуване операційною системою;

· Display Name (Ім'я, що виводиться) - ім'я служби, що відображується в інтерфейсі користувача;

· Description (Опис) - опис компонента SQL Server 2005;

· Startup Type (Тип запуску) - можливі типи запуску Automatic (Авто), Manual (Вручну) або Disabled (Відключено).

· Service Status (Стан служби) - стан служби на час останнього оновлення, наприклад Running (Працює) або Stopped (Зупинена).

Усі служби SQL Server, які не використовуються в даний момент або не вимагаються у вашій конкретній конфігурації системи, мають бути налаштовані на запуск вручну і зупинені (якщо вони були запущені). Для зміни типу запуску служби в списку Startup, що розкривається, type (Тип запуску) виберіть потрібний і клацніть кнопку Apply (Застосувати). Щоб зупинити запущену службу, клацніть кнопку Stop (Стоп). Якщо ви хочете взагалі уникнути запуску служби, виберіть тип запуску Disabled (Відключено). Пам'ятайте, що служба SQL Server Browser (Оглядач SQL Server) надає клієнтським комп'ютерам інформацію про з'єднання. Тому, якщо клієнти підключаються до SQL Server видалено, ця служба в більшості випадків потрібна.

Примітка Для управління службами SQL Server також можна використовувати компонент панелі управління Services (Служби) і утиліту адміністрування SQL Server Configuration Manager. За допомогою компонента Services (Служби) управління службами SQL Server виробляється так само, як і будь-якими іншими службами. SQl Server Configuration Manager дозволяє настроїти обліковий запис, під яким служба запускається, тип запуску і стан служби. Якщо застосовно, можна також настроювати додаткові властивості, такі як Dump Directory (Каталог дампу), Error Reporting (Звіт про помилки) і Startup Parameters (Параметри запуску). Перевага утиліт адміністрування SQL Server 2005 Surface Area Configuration і SQL Server Configuration Manager над компонентом панелі управління Services (Служби) полягає в тому, що вони організовують інформацію в зручнішому виді і надають доступ тільки до служб SQL Server, а не до усіх служб операційної системи.

Налаштування параметрів з'єднань

З SQL Server можна встановлювати локальні, видалені і виділені з'єднання. Локальні з'єднання використовуються додатками, що працюють на тому ж комп'ютері, де запущений і SQL Server. Видалені з'єднання застосовуються клієнтами, що підключаються до сервера, додатками, запущеними на інших серверах, а також іншими серверами SQL. Виділені з'єднання є спеціальною функціональною можливістю, використовуваною адміністраторами для обслуговування SQL Server (і розглядати її треба саме як можливість, що настроюється, а не як тип допустимого з'єднання).

Примітка Налаштування за умовчанням для з'єднань залежать від налаштувань облікових записів, під якими служби запускаються, від встановлених компонентів, а також від інших параметрів установки (наприклад, оновлена вона або нова). Як правило, нова установка конфігурується тільки для використання локальних з'єднань. Але коли встановлені додаткові компоненти, такі як Reporting Services (Служби звітів) або Notification Services (Служби повідомлень), типова конфігурація включає і локальні, і видалені з'єднання.

Незважаючи на те що конфігурація, що дозволяє тільки локальні з'єднання, забезпечує набагато вищий рівень безпеки, використовувати SQL Server в такій конфігурації можна не завжди. Типовішою є інша ситуація, коли вимагається дозволити з'єднання, що входять, від видалених клієнтів і серверів. Вживані в цьому випадку для з'єднань мережеві протоколи можуть вплинути як на кількість використовуваних системних ресурсів, так і на відносну безпеку сервера. Для видалених з'єднань SQL Server 2005 використовує протоколи TCP/IP і Named Pipes (Іменовані канали). Але оскільки ці протоколи вимагають відкриття через брандмауер визначених, причому різних, портів, сервер можна настроїти на застосування лише якогось одного з них, зменшуючи тим самим поверхню атаки. Проте, перш ніж змінювати допустимі типи з'єднань, слід переконатися, що усі клієнти і додатки налагоджені для використання відповідної мережевої бібліотеки.

Для протоколу TCP/IP з'єднання з SQL Server може встановлюватися як за допомогою його стандартного варіанту, так і мережевої бібліотеки TCP/IP Sockets. Екземпляр SQL Server за умовчанням прослуховує порт TCP 1433; іменованим екземплярам порт привласнюється динамічно, якщо не визначено інакше. У разі клієнтських з'єднань використовується порт TCP 1434. Для іменованих каналів SQL Server використовує мережеву бібліотеку Named Pipes. Екземпляр SQL Server за умовчанням встановлює з'єднання через стандартну мережеву адресу \\.\pipe\sql\ query, іменований екземпляр - через адресу \\.\pipe\MSSQL$instance_name\sql\ query, де instance_name - ім'я екземпляра. Щоб використовувати іменовані канали необхідно відкрити через брандмауер певний діапазон портів - сервер прослуховує порт TCP 445, а пошук імен NetBIOS здійснюється через порт UDP 139. Широкомовні запити (b - node broadcasts) для дозволу імен NetBIOS вимагають відкриття портів UDP 137 і 138, або можна використовувати сервер WINS або файли LMHOSTS.

Примітка SQL Server 2005 також підтримує протоколи Shared Memory (спільно використовувана пам'ять) для локальних з'єднань і VIA (Virtual Interface Architecture - архітектура віртуального інтерфейсу) для локальних і видалених з'єднань. Протоколи NWLink IPX/SPX і AppleTalk більше не підтримуються.

Щоб перевірити або змінити налаштування з'єднань, виконаєте наступну послідовність дій.

Запустите утиліту SQL Server 2005 Surface Area Configuration, потім клацніть посилання Surface Area Configuration For Services And Connections (Налаштування поверхні атаки для служб і з'єднань), що знаходиться в головному вікні.

Примітку SQL Server 2005 Surface Area Configuration визначає конфігурацію усіх запущених екземплярів SQL Server 2005 на сервері, з яким встановлено з'єднання. Якщо ви зупинили екземпляр SQL Server, то необхідно знову запустити його, щоб дістати можливість управляти за допомогою цієї утиліти. Можливо, потрібно буде закрити поточне вікно і відкрити його знову.

У діалоговому вікні Surface Area Configuration For Services And Connections (Налаштування поверхні атаки для служб і підключень) виберіть вкладку View By Instance (Перегляд по екземплярах) і розкрийте вузол екземпляра SQL Server, з яким працюватимете, наприклад екземпляр за умовчанням MSSQLSERVER.

Розкрийте вузол Database Engine (Ядро бази даних) і потім виберіть вузол Remote Connections (Видалені з'єднання), як показано на мал. 3-4.

Мал. 3-4. Параметри налаштування локальних і видалених з'єднань

Якщо не потрібно підключення до сервера видалених клієнтів, додатків і інших серверів, виберіть положення перемикача Local Connections Only (Тільки локальні з'єднання). Інакше виберіть положення Local And Remote Connections (Локальні і видалені з'єднання) і вкажіть дозволені типи з'єднань. Вам будуть запропоновані наступні варіанти:

Using TCP/IP Only (Використовувати тільки TCP/IP);

Using Named Pipes Only (Використовувати тільки іменовані канали);

Using both TCP/IP and Named Pipes (Використовувати TCP/IP і іменовані канали).

Клацніть кнопку Apply (Застосувати).25.02

Дата добавления: 2014-01-04; Просмотров: 278; Нарушение авторских прав?; Мы поможем в написании вашей работы!