Seit einiger Zeit kämpfe ich gegen CIOs, die unter dem Vorwand der Sicherheit immer häufigere Abschaltungen von Datenbankservern anordnen. Dennoch bin ich der Meinung, dass diese regelmäßigen Abschaltungen von Servern des Typs RDBMS wie Microsoft SQL Server völlig gegen die Sicherheit verstoßen, insbesondere wenn sie systematisch erfolgen, wie dies bei Windows-UPDATEs der Fall ist. Lassen Sie mich das am Beispiel von SQL Server erklären... Jedes Mal, wenn wir den SQL Server-Dienst oder die virtuelle Maschine stoppen oder den physischen Server neu starten, werden die Datenbankdateien, die für die ausschließliche Verwendung von SQL Server gesperrt sind, im Moment des Stopps angreifbar. Einer meiner Kunden, dessen RDBMS massiv angegriffen wurde, sah, dass alle Dateien seiner Datenbanken unter Linux verschlüsselt waren, während die Dateien der SQL Server-Datenbanken unter Windows nicht verschlüsselt waren... In der Annahme, das Richtige zu tun, stoppte er sie angeblich um MS SQL Server-Instanzen zu schützen und diese Dateien waren verschlüsselt!
Ich habe gerade einen Artikel zu diesem Thema geschrieben, um vor dieser Praxis zu warnen, die ich für sehr schlecht halte.
Natürlich müssen Sie die Patches für Windows und SQL Server weitergeben, aber es hat keinen Sinn, sie weiterzugeben, wenn diese Patches keine CVE enthalten oder ein offensichtliches Problem nicht beheben. … Mit anderen Worten, es besteht keine Dringlichkeit, diese Patches weiterzugeben, bei denen es uns hinsichtlich der Sicherheitslücken oder der Korrektur der Funktionalität nicht um Bedenken geht.
Die Frage ist, sind Sie für oder gegen eine systematische Abschaltung der Server?
Antwort1
Sie hatten Glück, das ist alles.
Ja, SQL Server hält Dateien gesperrt, während er ausgeführt wird, aber irgendwann ein Windows-Update (oder was auch immer)würdehaben den Server heruntergefahren und der Viruswürdesind an Ihre Datendateien gelangt.
Das grundlegendere Problem ist, dass Sie einen Virus auf Ihren Datenbankserver bekommen haben, derkönnteinfizieren Sie Ihre Datendateien!
Beheben Sie das richtige Problem.
Wenn auf Ihren Servern ein richtig konfigurierter Virenschutz läuft, sollte es keine Rolle spielen, ob und wann Sie Ihre Datenbanken herunterfahren.
Was die Vorabprüfung von Windows-Updates betrifft:Wirklichwollen jedes Mal, wenn sie eine neue Version herausbringen, die Microsoft-Dokumentation durchforstenbeliebigArt von Update, das für Server [Estate] gelten könnte? Klingt für mich nach einem Vollzeitjob an sich.