Mein Kollegen Vladimir entdeckte, dass man den SQL-Server-2005 nicht mehr so konfigurieren kann, dass er nur über Shared-Memory erreichbar ist.
\nSeit SQL-Slammer konfigurieren wir die an Arbeitspläzen installierten MSDEs so, dass sie nicht über das Netz erreichbar sind. Das wird auch von immer empfohlen, wenn man irgendwelche Sicherheitstipps liest.
\nIst ja logisch, damit bietet der SQL-Server erheblich weniger Angriffsfläche.<\/p>\n
Mit dem SQL-Server-2000 entfernt man einfach alle Protokolle "Server Network Utility" für die jeweilige Instanz. Dann kann man immer noch mittels Shared-Memory auf den lokalen SQL-Server zugreifen. <\/p>\n
Der SQL-Server-2005 unterstützt das Shared-Memory-Protokoll aber nicht mehr. Im "SQL Server Configuration Manager" sieht man zwar noch das Protokoll "Shared Memory", aber das stimmt nicht. Das kann man auch ganz gut im Process-Explorer sehen, wenn man sich die beiden Prozesse ansieht. Es ist mit einem kleinen Tests aber auch leicht nachvollziehbar.
\nDazu muss man einfach in dem Tool am SQL-Server-2005 alle Protokolle deaktivieren und nur Shared Memory übrig lassen. Danach muss man den Dienst neu starten.<\/p>\n
Dann sieht man schon im Errorlog des SQL-Servers: Wenn man sich nun explizit über Shared-Memory (LPC) zum SQL-Server verbindet, dann klappt der Zugriff:<\/p>\n (1 Zeilen betroffen) Der Zugriff verwendet aber nicht Shared-Memory, sondern eine spezielle Named-Pipe (obwohl Named-Pipes deaktiviert wurde):<\/p>\n (1 Zeilen betroffen) Weil die alten Client, die bspw. ODBC nutzen, das "neue" Shared-Memory nicht kennen, werden sie auf etwas umgelenkt, dass sie kennen: die "bisherigen" Named-Pipes. Deswegen ist jetzt jeder SQL-Server immer auch über die Standard-Pipe erreichbar, selbst wenn das Protokoll Named-Pipes deaktiviert ist:<\/p>\n (1 Zeilen betroffen) Man kann jetzt darüber streiten, ob das ein Sicherheitsproblem ist, aber es ist kein Bug, sondern ein beabsichtigtes Feature um abwärtskompatibel zu sein. Es ist auch kein Geheimnis, ich fand mehrere Artikel im Internet, die das bestätigen, wenn auch das Problem nicht als solches beschreiben (erkennen?), z.B. bei SQL-Protocols<\/a>.<\/p>\n Der Zugriff über eine Remote-Pipe funktioniert hingegen nicht:<\/p>\n Sqlcmd: Error: Microsoft SQL Native Client : Communication link failure. Das geht nur, wenn man auch Named-Pipes erlaubt.<\/p>\n","protected":false},"excerpt":{"rendered":" Mein Kollegen Vladimir entdeckte, dass man den SQL-Server-2005 nicht mehr so konfigurieren kann, dass er nur über Shared-Memory erreichbar ist. Seit SQL-Slammer konfigurieren wir die an Arbeitspläzen installierten MSDEs so, dass sie nicht über das Netz erreichbar sind. Das wird auch von immer empfohlen, wenn man irgendwelche Sicherheitstipps liest. Ist ja logisch, damit bietet der […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[16],"tags":[],"_links":{"self":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/621"}],"collection":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/comments?post=621"}],"version-history":[{"count":0,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/621\/revisions"}],"wp:attachment":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/media?parent=621"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/categories?post=621"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/tags?post=621"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nServer local connection provider is ready to accept connection on [ \\\\.\\pipe\\SQLLocal\\SQLEXPRESS ].
\nServer local connection provider is ready to accept connection on [ \\\\.\\pipe\\MSSQL$SQLEXPRESS\\sql\\query ].<\/code><\/p>\n>SQLCMD -S lpc:.\\MyExpress -E
\n1> SELECT net_transport FROM sys.dm_exec_connections WHERE session_id = @@SPID
\n2> go
\nnet_transport
\n—————————————-
\nShared memory<\/p>\n
\n1> exit<\/code><\/p>\n>SQLCMD -S np:\\\\.\\pipe\\SQLLocal\\MyExpress -E
\n1> SELECT net_transport FROM sys.dm_exec_connections WHERE session_id = @@SPID
\n2> go
\nnet_transport
\n—————————————-
\nShared memory<\/p>\n
\n1> exit<\/code><\/p>\n>SQLCMD -S np:\\\\.\\pipe\\MSSQL$MyExpress\\sql\\query -E
\n1> SELECT net_transport FROM sys.dm_exec_connections WHERE session_id = @@SPID
\n2> go
\nnet_transport
\n—————————————-
\nNamed pipe<\/p>\n
\n1> exit<\/code><\/p>\n>SQLCMD -S np:\\\\MyPC\\pipe\\MSSQL$MyExpress\\sql\\query -E
\nHResult 0xE9, Level 16, State 1
\nNamed Pipes Provider: Kein Prozess ist am anderen Ende der Pipe.<\/p>\n
\nSqlcmd: Error: Microsoft SQL Native Client : An error has occurred while
\nestablishing a connection to the server. When connecting to SQL Server
\n2005, this failure may be caused by the fact that under the default settings
\nSQL Server does not allow remote connections..<\/code><\/p>\n