Немного о возможностях доступа к внешним ресурсам в MS SQL Server:
Параметр ‘clr enabled’ – позволяет выполнять в SQL Server внешние процедуры, триггеры и функции, скомпилированные в виде .NET кода
Параметр ‘Ole Automation Procedures’ – открывает доступ к созданию и использованию внешнего функционала (скажем, процедур) с помощью объектов OLE-автоматизации
Встроенная хранимая процедура ‘xp_cmdshell’ – позволяет выполнить команду оболочки операционной системы и получить вывод
Ясно, что для безопасности это все должно быть отключено.
Проверить настройки:
SELECT name, CAST(value as int) as value_configured, CAST(value_in_use as int) as value_in_use FROM sys.configurations WHERE name = 'clr enabled' OR name = 'Ole Automation Procedures';
EXECUTE sp_configure 'show advanced options',1;
RECONFIGURE WITH OVERRIDE;
EXECUTE sp_configure 'xp_cmdshell';
Отключить:
EXECUTE sp_configure 'clr enabled', 0;
EXECUTE sp_configure 'show advanced options',1;
RECONFIGURE WITH OVERRIDE;
EXECUTE sp_configure 'Ole Automation Procedures', 0;
EXECUTE sp_configure 'xp_cmdshell',0;
RECONFIGURE WITH OVERRIDE;
Источник: https://t.me/informhardening
