{"id":1044,"date":"2016-01-07T16:52:27","date_gmt":"2016-01-07T14:52:27","guid":{"rendered":"http:\/\/www.ayhanarda.com\/blog\/?p=1044"},"modified":"2016-01-07T16:52:27","modified_gmt":"2016-01-07T14:52:27","slug":"mssql-server-guvenligi","status":"publish","type":"post","link":"https:\/\/www.ayhanarda.com\/blog\/2016\/01\/mssql-server-guvenligi\/","title":{"rendered":"MsSQL Server G\u00fcvenli\u011fi"},"content":{"rendered":"

MSSQL Server G\u00fcvenli\u011fi<\/p>\n

*Her\u015feyin ba\u015f\u0131 Patch ve Update
\n\u00d6ncelikle mssql server \u00e7al\u0131\u015fan sunucumuzu en g\u00fcncel hali ile tutmal\u0131 ve g\u00fcvenlik g\u00fcncellemelerini aksatmadan yapmal\u0131y\u0131z , ka\u00e7\u0131rd\u0131\u011f\u0131m\u0131z bir update olmas\u0131 ihtimaline kar\u015f\u0131 Microsoft’un Baseline Security Analyzer \u0131 ile periyodik olarak taramal\u0131y\u0131z. Ayr\u0131ca bu sonu\u00e7 Size sadece eksik g\u00fcncellemeleri de\u011fil , \u015fifresi uzun s\u00fcredir de\u011fi\u015ftirilmemi\u015f kullan\u0131c\u0131lardan tutunda sunucudaki a\u00e7\u0131k payla\u015f\u0131mlara kadar geni\u015f bir g\u00fcvenlik raporu verecektir.<\/p>\n

Download : Microsoft Baseline Security Analyzer<\/a><\/p>\n

*Kullanmad\u0131\u011f\u0131m\u0131z Servisleri Kapatal\u0131m
\nStandart bir mssql server kurulumunda a\u015fa\u011f\u0131daki 4 servis kurulur,<\/p>\n

MSSQLSERVER
\nSQLSERVERAGENT
\nMSSQLServerADHelper
\nMicrosoft Search<\/p>\n

E\u011fer biz, sadece veritaban\u0131m\u0131z \u00e7al\u0131\u015fs\u0131n , benim active directory entegrem yok , full text search kullanm\u0131yorum , \u015fu sorguyu \u015fu zaman \u00e7al\u0131\u015ft\u0131r ve sonucunu \u015funa mail g\u00f6nder gibi bir tan\u0131mlamam da yok , sadece veritaban\u0131m \u00e7al\u0131\u015fs\u0131n ve eri\u015febileyim istiyorum diyor iseniz MSSQLSERVER servisi haricindeki di\u011fer servisleri g\u00f6n\u00fcl rahatl\u0131\u011f\u0131 ile kapatabilirsiniz ki hatta servisi durdurmak ile yetinmeyip sunucu reboot olduktan sonra da \u00e7al\u0131\u015fmamas\u0131 i\u00e7in disabled duruma getirebilirsiniz.)<\/p>\n

Bu i\u015flemi servislerde ilgili servisin \u00fczerine sa\u011f t\u0131klay\u0131p startup type k\u0131sm\u0131nda Disabled se\u00e7erek tamamlayabilirsiniz.<\/p>\n

*Fazla Protokol G\u00f6z \u00c7\u0131kar\u0131r
\nE\u011fer mssql veritaban\u0131n\u0131z\u0131 sadece tcp\/ip protokol\u00fc ile kullan\u0131yorsan\u0131z Shared Memory, Named Pipes, VIA protokollerine ihtiyac\u0131n\u0131z yok demektir , bunlar\u0131 Sql Server Configuration Manager dan disabled duruma getirebilirsiniz.
\nAyr\u0131ca sunucunuzda birden fazla ip var ise bunlardan hangisinin 1433 e cevap vermesi gerekti\u011fini yine Sql Server Configuration Manager \u00fczerinden ayarlayabilirsiniz ya da sql server eri\u015fimi i\u00e7in 1433 yerine custom bir port belirtmek isterseniz yine buradan yapabilirsiniz , portu de\u011fi\u015ftirmeniz faydal\u0131 olacakt\u0131r , b\u00f6ylece standart olarak bu portlara gelen bruteforce lardan kurtulmu\u015f olacaks\u0131n\u0131z.<\/p>\n

*Hesaplar
\nSql server Servisini \u00e7al\u0131\u015ft\u0131racak kullan\u0131c\u0131 olarak Local service account de\u011filde sunucuda yeni olu\u015fturaca\u011f\u0131n\u0131z bir kullan\u0131c\u0131 \u00e7al\u0131\u015ft\u0131racak \u015fekilde konfigure etmelisiniz. Hatta bu user \u0131 Users grubundan da \u00e7\u0131kart\u0131n.<\/p>\n

Sonras\u0131nda sa ile oturum a\u00e7may\u0131 engellemek i\u00e7in a\u015fa\u011f\u0131daki sorguyu execute edebilirsiniz.<\/p>\n

ALTER LOGIN [sa] DISABLE
\nGO<\/p>\n

Kullan\u0131lmayan hesaplar\u0131 da silmeliyiz , \u00f6rne\u011fin server kurulumu s\u0131ras\u0131nda Sql Debugger kullan\u0131c\u0131s\u0131 olu\u015fur ancak production ortam\u0131nda bu gereksizdir , sadece visual studio .net in debug i\u00e7in kulland\u0131\u011f\u0131 bir hesapt\u0131r ve kullan\u0131lm\u0131yor ise silinmesi gerekir.<\/p>\n

Bir di\u011fer konu ise windows \u00fczerindeki Guest hesab\u0131n\u0131n disable edilmesidir.<\/p>\n

Bir ad\u0131m daha ileriye gidersek \u00f6nerim windows \u00fczerindeki administrator kullan\u0131c\u0131s\u0131n\u0131n da ad\u0131n\u0131 farkl\u0131 bir isim yapman\u0131z olmal\u0131d\u0131r , Sql iniz g\u00fcvenli olabilir ama windows a eri\u015fildikten sonra gizlilik\/b\u00fct\u00fcnl\u00fck\/eri\u015filebilirlik\u00a0ilkelerinden birinin bile zarar g\u00f6rmesi ciddi bir kayba yol a\u00e7abilir.<\/p>\n

Ayr\u0131ca \u015fifre se\u00e7iminizde dikkatli olmal\u0131s\u0131n\u0131z , g\u00fc\u00e7l\u00fc ve komplex \u015fifreler kullanmal\u0131 , bu \u015fifreler i\u00e7in bir expire zaman\u0131 belirlemelisiniz, b\u00f6ylece o d\u00f6nem sonunda sizden \u015fifrenizi g\u00fcncellemeniz istenecektir.
\nBu zorlamay\u0131 local security policy \u00fczerindeki Account policy den yapabilirsiniz.<\/p>\n

Null session lar\u0131 registry \u00fczerinden kapayal\u0131m. Key yolu a\u015fa\u011f\u0131daki gibi , de\u011ferini 1 yap\u0131n\u0131z.
\nHKLM\\System\\CurrentControlSet\\Control\\LSA\\RestrictAnonymous<\/p>\n

*Payla\u015f\u0131mlar
\nSunucuda administrative shares dedi\u011fimiz \u00f6n tan\u0131ml\u0131 gelen payla\u015f\u0131mlar a\u00e7\u0131k olabilir (c$ , d$ gibi) , bunlar\u0131 kapatmal\u0131s\u0131n\u0131z.
\nE\u011fer bir payla\u015f\u0131ma ihtiya\u00e7 duyuyorsan\u0131z bu spesifik bir klas\u00f6r ve spesifik bir user olmal\u0131 , everyone i\u00e7in bir payla\u015f\u0131m a\u00e7mamal\u0131s\u0131n\u0131z.<\/p>\n

*Portlar
\n1433 nolu porta eri\u015febilecek ip aral\u0131\u011f\u0131n\u0131 sunucu \u00fczerindeki firewall a tan\u0131mlayabilirsiniz , b\u00f6ylece belirledi\u011finiz ipler haricinde eri\u015fim m\u00fcmk\u00fcn olmayacakt\u0131r.<\/p>\n

Devam\u0131n\u0131 bug\u00fcn yar\u0131n yazmaya \u00e7al\u0131\u015faca\u011f\u0131m.<\/p>\n

Ayhan ARDA<\/p>\n

\"Share<\/a>