Microsoft has tested the following workarounds. Although these workarounds will not correct the underlying vulnerability, it helps block known attack vectors. When a workaround reduces functionality, it is identified in the following section.

Deny permissions on the sp_replwritetovarbin extended stored procedure

use master
deny execute on sp_replwritetovarbin to public

原出處:http://www.ithome.com.tw/itadm/article.php?c=52845

美國FBI網路犯罪中心（IC3）日前指出，利用微軟SQL Server的漏洞，植入各種後門程式以取得有效使用者存取資料庫權限，是目前駭客最常使用的攻擊手法之一。對此，FBI IC3提出12種基本的預防之道。
首先，對於常見SQL Injection（隱碼攻擊）或微軟SQL Server漏洞，FBI IC3認為，資料庫管理人員應該關閉有傷害性的SQL Stored Procedure（預存程序）呼叫，例如最常見的xp_cmdshell可允許存取本地端的程式，就是一種安全性的隱憂。FBI IC3提醒，要關閉這類有害的Stored Procedure，除了關閉呼叫功能，更需移除相關dll檔。
其次，FBI IC3建議，網站伺服器（例如微軟的IIS）應該過濾掉過長的網址。IT人員可以找出網路服務所使用的最長網址長度，藉由限制過長網址，可避免駭客在網址中隱含惡意網址或參數字串。再者，對於目前許多動態網頁內容安全性的保護，FBI IC3認為，網路管理員應該要做到過濾字串和只傳參數，把程式的控制指令替代成字串，不會對SQL指令造成影響，但又能在瀏覽器正確顯示。
許多IT人員習慣以最高管理者權限執行安裝各種服務，這也意味著，一旦這個最高管理者權限被竊，整個伺服器和資料庫的安全性將岌岌可危。所以，FBI IC3建議，不要使用最高權限安裝微軟的SQL Server和IIS網站伺服器，只安裝所需的程式，例如AD伺服器就不需要安裝Microsoft Office，對網路和資料庫使用者，只提供最小權限。

提供密碼保護，是保護管理者帳號的基本作為。但FBI IC3發現，有很多企業IT管理人員經常採用SQL Server預設SA管理者帳號和預設空白密碼，這些都是安全上的一大隱憂。此外，對於主機登入密碼多次輸入錯誤，應暫時封鎖並做檢查，FBI IC3認為這是對駭客入侵的初次檢驗。

FBI IC3認為，所有企業內的伺服器都應該禁止直接連網，所有的連網都應該透過代理伺服器（Proxy）對外連線，才能夠檢查連線內容和連線埠。FBI IC3也提醒，對於一些會產生驗證金鑰（例如PIN碼）的HSM（硬體加密模組），應該限制其他指令不可以產生這種加密的PIN碼，避免讓駭客可以取得足夠的樣本，藉此反推加密演算法以保護加密演算法。

FBI IC3建議，企業IT人員對於資料庫的管理往往較為鬆散，不論是存取資料庫的黑白名單，或制定更謹慎的資安管理規則，都是讓資料庫更安全的手法之一。最後，FBI IC3也提醒，企業內IT人員應該要在防火牆定期更新已知的惡意網址或IP位址，檢驗企業內是否有連結這些惡意網路位址的記錄，即時掌握企業內資安動態。