Вы находитесь на странице: 1из 8

Conociendo a SAC (Surface Area

Configuration)
http://www.microsoft.com/latam/technet/articulos/tn/oct06-14.mspx

Publicado: 24/10/2006
Por Maximiliano Accotto, MVP SQL Server
Microsoft SQL 2005 (MS SQL 2005) ha incorporado grandes cambios en lo que
respecta a la seguridad. Uno de los ms importantes es que luego de instalar el
producto se tienen todas las funciones con las cuales el motor se debe relacionar fuera
de l, de forma deshabilitada.
Esto es tan as, que luego de una instalacin ni se permite la conexin desde un
cliente al servidor de SQL.
Con estos cambios tambin se han introducido una serie de herramientas adicionales que no se
disponan con anterioridad en las versiones de SQL.
En este artculo haremos un repaso por SAC, la herramienta que trae SQL 2005 para configurar todo lo
relacionado a la seguridad del motor.
Para poder entrar a SAC debemos acceder desde Start\Programs\Microsoft SQL Server
2005\Configuration Tools al acceder encontraremos la siguiente figura como primer pantalla.

Hemos ganado rpidamente participacin de mercado debido al nivel de aceptacin de la oferta de


soluciones Microsoft, explic Andrs Haidar, director de Ventas de Soluciones de Negocios Microsoft
Cono Sur. Adems, lanzamos recientemente Microsoft Dynamics Great Plains 9.0, que entre sus
principales caractersticas presenta una nueva forma de operacin basada en roles. Esto representa una
evolucin a lo conocido en aplicaciones de gestin, y permitir a las personas ser ms productivas y
tomar mejores decisiones, agreg el ejecutivo.
Aqu bsicamente tenemos tres opciones:
1. Change Computer: esta opcin nos permite acceder a configurar otro servidor
2. Sourface rea configuration for Service and Connections: entraremos a la configuracin relacionada
con los servicios de SQL y conexiones
3. Sourface area Configuration for Feature: aqu configuraremos Features nuevas de SQL 2005 y otras
que ya existan en versiones anteriores donde necesiten que SQL se deba conectar con un mundo
exterior a l mismo.
Sourface Area Configuration for Services and Connections
Como se menciono en el apartado anterior, en esta seccin podremos configurar todo lo relacionado a
los servicios y a las conexiones hacia SQL Server. La siguiente figura muestra las opciones que
disponemos al acceder a esta seccin.

Como se observa en la figura, podemos ver que el primer tem (YUKON) hace referencia a nuestra
instancia de SQL 2005, si dispondramos mas de una instancia la veramos tambin en este listado.
Del lado derecho podemos observar mas datos del servicio en si y hasta lo podramos poner en pausa o
detenerlo. Al pulsar sobre el plus (+) podremos ver mas opciones dentro de la instancia como se muestra
en la siguiente figura.

Aqu vemos los distintos servicios de SQL, como por Ej.: Database Engine (El motor relacional),
Analysis Services (Olap), Reporting Services (El servidor de reportes), Agent (El agente de SQL para
programar trabajos) y por ultimo el Full-Text Search. En este artculo nos concentraremos solamente en
Database Engine. La siguiente figura muestra las opciones que dispone este servicio al pulsar sobre el
plus (+)

Esta opcin que estamos viendo es la del servicio (Service), aqu configuramos bsicamente como
queremos que inicie este mismo. Para configurar las opciones del servicio se recomienda el uso de: SQL
Server Configuration Manager (Otra herramienta de SQLServer que viene con el producto).
La opcin ms importante desde SAC es la segunda (Remote Connections) que mostramos en la
siguiente figura:

Como se podr observar, SQL Server por default no permite conexiones entrantes hacia el servidor. Esta
es una de las consultas que mas se hacen en los foros: instale un SQL 2005 y no puedo acceder a el
desde un cliente.
Pues es cierto. Ahora por seguridad y por lo que hemos mencionado antes (Reducir la superficie de
ataque) SQL no permite las conexiones entrantes por default, entonces lo que se debe realizar es entrar
al SAC y configurar la posibilidad de conexiones entrantes, al hacerlo tenemos tres opciones de
protocolos, lo recomendable aqu es usar el que realmente este activado, si es TCP solo entonces esa
opcin, si es Named Pipes lo mismo, y si no estamos seguros entonces la tercer opcin que usara
ambos.
Sourface Area Configuration for features
Esta otra opcin del SAC permite configurar todas aquellas caractersticas en las cuales el motor de
bases de datos se deba conectar con un mundo exterior. La siguiente figura muestra cuales son estas
opciones que luego entraremos a detallar.

Todas las opciones que veremos aqu estn deshabilitadas por default, si deseamos tenerlas disponibles
deberemos entrar al SAC e indicarlo. La recomendacin es solo habilitar aquellas caractersticas que s o
s se estn utilizando, justamente la idea de no tener todo abierto es reducir la superficie de ataque.
Ad Hoc Remote Queries: Este caracterstica tambin disponible en versiones anteriores permite
conectarnos con TSQL a otros servidores de bases de datos como podran ser SQL, Access, etc.
CLR Intregation: SQL 2005 ha incorporado la posibilidad de escribir objetos (Triggers Stores
Procedures Funciones de usuario Datos definido por el usuario) en .NET. Para ello se incorporo el
CLR, esta opcin del SAC permite la habilitacin del mismo.
DAC: Esta tambin es una nueva caracterstica de SQL 2005, que permite tener una conexin dedicada
por lnea de comandos (SQLCMD). Esto es muy til para cuando nuestro servidor esta colgado y no
podemos ni manejarlo con las herramientas administrativas.
Database Mail: La habilitacin de esta nueva caracterstica permitir el envi de e-mails va SMTP.
Active XML Web Services: Web service es una nueva funcionalidad de SQL 2005, que nos permite
crear nuestros propios WS desde TSQL. Aqu en el SAC podremos ver cuales estn activos y tambin
cambiar sus estados de ser necesario.
OLE db Automation: Al habilitar esta opcin desde el SAC le daremos a SQL la posibilidad de poder
ejecutar procedimientos extendidos XPs

OLE db Automation: Al habilitar esta opcin desde el SAC le daremos a SQL la posibilidad de poder
ejecutar procedimientos extendidos XPs
Service Broker: Al igual que los Web Service, esta opcin del SAC permite ver los distintos Endpoint
de Service Broker (un nuevo servicio de SQL Server) y tambin cambiar sus estados.
SQL Mail: Esta opcin habilita la posibilidad de utilizar el viejo mtodo de envi de correos de SQL
Server. Esta opcin de correos esta disponible para mantener compatibilidad hacia atrs.
XP_CmdShell: Al habilitar esta opcin desde SAC estaremos dando la posibilidad de utilizar este
procedimiento extendido del sistema el cual nos permite ejecutar comandos del SO.
Conclusiones: SAC es la herramienta para configurar la seguridad en el motor de bases de datos. En
anteriores versiones del producto se tena por default las opciones habilitadas, ahora para disminuir las
posibilidades de ataque hay que habilitar manualmente las opciones que puedan afectar a la seguridad
de SQL Server. Esto nos da mayor tranquilidad pero a la vez debemos tener presente estas cosas a la
hora de que no nos funcionen algunas caracterstica, como recomendacin primero acceder al SAC y ver
si esa caracterstica no esta deshabilitada.