Немного о возможностях доступа к внешним ресурсам в MS SQL Server:

Параметр ‘clr enabled’ – позволяет выполнять в SQL Server внешние процедуры, триггеры и функции, скомпилированные в виде .NET кода

Параметр ‘Ole Automation Procedures’ – открывает доступ к созданию и использованию внешнего функционала (скажем, процедур) с помощью объектов OLE-автоматизации

Встроенная хранимая процедура ‘xp_cmdshell’ – позволяет выполнить команду оболочки операционной системы и получить вывод

Ясно, что для безопасности это все должно быть отключено.

Проверить настройки:

SELECT name, CAST(value as int) as value_configured, CAST(value_in_use as int) as value_in_use FROM sys.configurations WHERE name = 'clr enabled' OR name = 'Ole Automation Procedures';

EXECUTE sp_configure 'show advanced options',1;

RECONFIGURE WITH OVERRIDE;

EXECUTE sp_configure 'xp_cmdshell';

Отключить:

EXECUTE sp_configure 'clr enabled', 0;

EXECUTE sp_configure 'show advanced options',1;

RECONFIGURE WITH OVERRIDE;

EXECUTE sp_configure 'Ole Automation Procedures', 0;

EXECUTE sp_configure 'xp_cmdshell',0;

RECONFIGURE WITH OVERRIDE;

Источник: https://t.me/informhardening