Este documento contiene recomendaciones para mejorar la seguridad de un ambiente Windows en el que opere Adaptive Server Enterprise (ASE). Estas recomendaciones deben ser aplicadas sobre todas las máquinas Windows en las que corra ASE y que permitan acceso a usuarios no privilegiados.
Este asunto afecta todas las versiones de ASE previas a 12.0.0.8 ESD #3 y 12.5.3 ESD #1. Para ASE 12.0.0.8 ESD #3 y posteriores, y 12.5.3 ESD #1 y posteriores, los pasos 1, 3, 4 y 5 deben ser, de todas maneras, llevados a cabo . Estas recomendaciones se hacen proactivamente y no como resultado de algún problema de seguridad reportado.
Recomendacíon
Sybase recomienda que usted implemente todos los siguientes pasos, tan pronto como le sea posible. Estos pasos deben ser ejecutados con el usuario "sybase" utilizado para instalar ASE (por ejemplo el usuario "Administrator" de Windows, o cualquier otro que haya sido utilizado). Vea el manual "Installation Guide: Adaptive Server Enterprise for Windows" para mayor información sobre las tareas de instalación. Asegúrese de que el usuario "sybase" es miembro del grupo del sistema "Administrators", de tal manera que tenga privilegios de acceso que le permitan completar los pasos descritos a continuación.
-
Detenga los servicios Sybase. Usando "Administrative Tools", abra "Services", elija cada uno de los servicios Sybase y deténgalos. Hay entradas separadas en "Services" para cada servicios Sybase: SQLServer (Adaptive Server Enterprise), XPServer, BCKServer, MONServer y SYSAM.
- Obtenga el utilitario SybProtect (EBF 12326). Para obtener el utilitario, entre a http://www.sybase.com/downloads, diríjase a la sección de EBFs, siguiendo el vínculo "EBFs/Maintenance" y luego el vínculo "Adaptive Server Enterprise". Siga las instrucciones de instalación en el "Cover Letter" del EBF para instalar el utilitario SybProtect. Después de completar la instalación, detenga el servicio SybProtect.
- Identifique las unidades de disco y carpetas en donde está instalado el software de ASE, e identifique los dispositivos de disco de ASE. Use la herramienta de línea de comando cacls o el "Windows Explorer" para definir los permisos sobre las unidades de disco y carpetas identificadas. Para instrucciones detalladas sobre el uso de cacls o "Windows Explorer", consulte su documentación de Windows.
Sybase recomienda otorgar control completo al usuario "sybase" y negar el acceso a otros usuarios sobre todos las unidades de disco, carpetas y jerarquías de carpetas identificadas.
Si usuarios diferentes a "sybase" requieren acceso a archivos (archivos de configuración, programas, librerías, etc.) dentro de la jerarquía de carpetas, limite su acceso a "read/execute". Otorgar este acceso y cualquier otro permiso adicional, debe ser cuidadosamente evaluado por el administrador para asegurar que se necesita.
Nota: cacls es un utilitario de línea de comandos disponible en Windows 2000 y versiones posteriores. En versiones anteriores de Windows, este utilitario está disponible con el "NT Resource Kit".
-
Los servicios ASE deben ser arrancados como usuario "sybase".
-
Usando "Administrative Tools", abra "Services" y seleccione cada uno de los servicios Sybase instalados. En adición a los servicios Sybase listados en el paso 1, el servicio SybProtect fue instalado en el paso 2.
-
Defina las propiedades "Log On" para cada uno de los servicios usando el usuario "sybase" y la contraseña adecuada para esa cuenta. Note que esta acción tendrá como resultado que al usuario "sybase" se le otorgará el derecho "Log on as service".
-
-
Reinicie los servicios Sybase. Usando "Administrative Tools", abra "Services" y elija cada uno de los servicios Sybase que fueron detenidos en el paso 1 y arránquelos. Finalmente, arranque el servicio SybProtect.