服务器环境:windows server 2016 信息泄露漏洞问题

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了服务器环境:windows server 2016 信息泄露漏洞问题相关的知识,希望对你有一定的参考价值。

问题:经过绿盟科技"远程安全评估系统"扫描,新装的系统就存在以下安全漏洞。(服务器已进行过系统更新,远程访问没有问题,远程端口3389)

端口 协议 服务 漏洞

3389 TCP ms-wbt-server SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞 (CVE-2015-2808)【原理扫描】

SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理扫描】

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】

在网站上搜索各种解决方法均无效。

请告知该漏洞应如何解决,谢谢。

去腾讯智慧安全申请个御点终端安全系统
申请好了之后,打开腾讯御点,选择修复漏洞
可以自动检测出电脑里面需要修复的漏洞然后一键修复
参考技术A 您好,请问您这个问题解决了吗 参考技术B 500大洋解君愁

如何在工作组环境中为 MS SQL Server 创建 Windows 服务帐户?

【中文标题】如何在工作组环境中为 MS SQL Server 创建 Windows 服务帐户?【英文标题】:How to create a Windows service account for MS SQL Server in a workgroup environment? 【发布时间】:2016-11-28 06:51:43 【问题描述】:

我在一个工作组中有两台 Windows Server 2012 R2 服务器,第一台我有 MS SQL Server,另一台(除其他外)用作备份存储。在数据库服务器上,SQL Server 数据库引擎和 SQL Server 代理都使用默认虚拟帐户运行 - NT Service\MSSQLSERVER 和 NT Service\SQLSERVERAGENT。

现在,我想使用 Ola Hallengren 维护作业来备份我的 MS SQL Server 数据库。这些脚本被包装到 SQL Server 代理作业中,但备份是一个 t-sql 过程,因此由 SQL Server 数据库引擎使用 NT Service\MSSQLSERVER 执行。

我在存储服务器上创建了一个帐户,并为此帐户创建了一个具有访问权限的共享文件夹。我可以使用为创建的帐户提供凭据的 net use 命令连接数据库服务器上的共享。 有一个问题:共享是为运行 net use 命令的帐户连接的。

如果我将共享与本地系统帐户(应该适用于所有用户)连接,那么 NT Service\MSSQLSERVER 仍然无法访问它,任何其他帐户都不能。似乎hack previously proposed on *** 在 Windows Server 2012 R2 中已修复。

如果我在 SQL Server 代理作业中将 net use 命令作为一个步骤运行,那么它会使用另一个虚拟帐户 - NT Service\SQLSERVERAGENT - 并且备份步骤失败并出现“找不到文件夹”错误。

所以我想知道一种使用all the necessary permissions 创建 Windows 服务帐户的方法,以便在工作组环境中使用 SQL Server 数据库引擎服务。或者解释为什么它不能完成。 理想情况下,它应该是一个脚本 - Powershell 或 VBScript。

我尝试将 SQL Server Dabase Engine 和 SQL Server Agent 作为本地系统运行,并且备份的效果非常好。但我不认为这是一种解决方案,因为从安全角度来看不建议这样做。

由于同样的安全原因,我也不会考虑使用xp_cmdshell 运行 net use 命令的解决方案。

【问题讨论】:

您如何访问共享,您使用的路径是什么?您映射了驱动器还是使用了 UNC 路径? @DavidG,我使用 UNC 路径,像这样:net use \\remotehost\folder password /user:remotehost\username 问题是这仅对当前登录的用户有效,您需要以运行 SQL 的同一用户身份登录。 是的,这就是目标。我需要一个脚本来在工作组中创建这样的帐户,以便该帐户能够运行 MS SQL Server 并连接网络共享文件夹。或者某种手册,如果不是脚本的话。 【参考方案1】:

好的,完成它的正确方法是执行以下操作:

在两台服务器上创建一个名称完全相同的用户帐户。如果用户名为.\UserName 而不是ServerName\UserName,则可以这样做。 完成后,您需要嗅探虚拟服务帐户NT Service\MSSQLSERVER 的权限。这可以通过使用 SubInACL 实用程序来完成。此工具由 Microsoft 专门为此目的创建,可从官方 Microsoft 下载中心下载。或者,您可以跳过嗅探实际权限并继续下一点。 知识库文章https://msdn.microsoft.com/en-us/library/ms143504.aspx 中描述的所有权限都可以使用相同的SubInACL 工具为新创建的帐户设置到位。网上有几篇关于如何使用该工具的文章,我用过这一篇-https://redmondmag.com/articles/2008/03/01/dive-deep-with-subinacl.aspx 最后一步是:在新创建的用户帐户下启动 SQL Server 服务,并提供对另一台服务器上共享文件夹的访问权限。

这应该去superuser.com

【讨论】:

【参考方案2】:

是否可以使用 SSIS 包来执行以下操作:

    使用登录详细信息等通过 tsql 创建和编写脚本。并将其导出到磁盘上的脚本文件。 运行运行脚本。 再次删除脚本文件。

示例: https://www.simple-talk.com/sql/ssis/adding-the-script-task-to-your-ssis-packages/

使用 T-sql 创建批处理文件:

--Set first day of Week to Monday
--Value First day of the week is 
--1 Monday 
--2 Tuesday 
--3 Wednesday 
--4 Thursday 
--5 Friday 
--6 Saturday 
--7 (default, U.S. English) Sunday 
SET DATEFIRST 1

Declare @CmdSource varchar(100),
    @CmdDestination varchar(100),
    @Year varchar(4),
    @Week varchar (2),
    @Difference int

Set @Difference = 0
Set @Year = Convert(varchar(4), DatePart(Year, GetDate()-@Difference))
Set @Week = Convert(varchar(2), DatePart(week, GetDate()-@Difference))
If @Year = '2010'
BEGIN
    Set @Week = @Week - 1
END

SELECT @Week = 
        CASE Len(@Week)
            WHEN 1
            THEN '0' + @Week
            else @Week
        END

Set @CmdSource = 'XCopy "<sourcepath>' + @Year + '\extras text' + @Year + @Week + '.bak" '
Set @CmdDestination = '"<Destination path>" /Y'

SELECT @CmdSource + @CmdDestination as Batchfile

我们选择在设定的时间创建文件。然后,我们设置一个单独的 windows 计划任务,在创建后的设定时间独立于 SQL 运行。在 2010 年与 SSIS 一起运行是不可预测的。只有一个很长的目标列(长度为 200,由您决定。)

【讨论】:

您能否详细说明“使用登录详细信息通过 tsql 创建和编写脚本”。我可以使用 C#/VB.net 脚本创建一个 SSIS 包。这里没问题。但我不确定我是否理解其中的代码应该是什么。你的回答似乎更像是一个问题而不是一个答案。 我们过去做过类似的事情。我还在寻找它。将通过示例和步骤回复您 更新了答案以包含更详细的步骤和图像。希望有帮助 什么?!这如何回答我的问题?这完全是题外话。 这是一个建议。使用 if 作为解决方案的一部分。将其备份到它所在的一个副本上。下一步做什么。这是解决方案中的一些步骤,而不是解决方案。我不需要解释。【参考方案3】:

恕我直言,您最好的选择仍然是在 xp_cmdshell 中运行 net use \\remotehost\folder password /user:remotehost\username

只需要运行一次,如果不喜欢可以再次关闭xp_cmdshell;这不像更改该选项需要重新启动 =)

为此,我建议将其放入“启动”程序中。如果您担心有人会 sp_helptext 它来查找该登录名的密码,您甚至可以添加 WITH RECOMPILE。再说一次,人们在找到加密的启动过程时可能会吓坏=)

USE master
GO
CREATE PROCEDURE sp_net_use_that_other_server
AS

-- To allow advanced options to be changed.  
EXEC sp_configure 'show advanced options', 1;  

-- To update the currently configured value for advanced options.  
RECONFIGURE;  

-- To enable the feature.  
EXEC sp_configure 'xp_cmdshell', 1;  

-- To update the currently configured value for this feature.  
RECONFIGURE;  

-- you might want to fetch this dynamically from the database somewhere, or simply leave it hardcoded here...

EXEC master..xp_cmdshell 'net use \\remotehost\folder password /user:remotehost\username'

-- To disable the feature.  
EXEC sp_configure 'xp_cmdshell', 0;  

-- To update the currently configured value for this feature.  
RECONFIGURE;  


Return
GO

-- set this up as a startup procedure
EXEC sp_procoption @ProcName = 'sp_net_use_that_other_server'   
                 , @OptionName =  'startup'   
                 , @OptionValue = 'on';  

GO

之后,数据库引擎应该能够BACKUP DATABASE... 到该共享。

【讨论】:

使用 xp_cmdshell 存在安全风险,一般不推荐。请查看此链接blogs.msdn.microsoft.com/sqlsecurity/2008/01/10/xp_cmdshell 因此我建议在您不再需要它之后再次“关闭那个洞”;您只需要它在启动服务时创建共享。

以上是关于服务器环境:windows server 2016 信息泄露漏洞问题的主要内容,如果未能解决你的问题,请参考以下文章

服务器环境:windows server 2016 信息泄露漏洞问题

windows server 2016 搭建DNCP服务

windows server 2016 课程讲义

阿里云Windows Server 2012安装SharePoint 2016.docx

Windows server 2016 部署 PKI 和证书服务

windows server 2016部署wsus服务