एक्सेल के माध्यम से SQL सर्वर से जुड़ने वाले उपयोगकर्ताओं के संभावित जोखिम, sysadmin के रूप में?

8

मुझे हाल ही में पता चला है कि वित्त विभाग का एक बड़ा दल मेरे SQL Server 2000 इंस्टेंस को sysmmin रोल में एक खाते से जोड़ने के लिए Excel का उपयोग कर रहा है। मेरे वर्तमान जोखिम क्या हैं जो मुझे तुरंत होने वाली शक्तियों से संवाद करना चाहिए?

sql-server  security 
swasheck
स्रोत
जॉन सिगेल
1
टीपीटीबी = शक्तियां जो हैं
डेटागॉड
1
@JonSeigel, मैं बताता हूं कि मेरा उत्तर विशेष रूप से यह समझाने में मदद करने के लिए लागू होता है कि यह एक खराब वित्तीय प्रशंसा के साथ-साथ आपके द्वारा जुड़े प्रश्न में सभी dbs के लिए अधिक सामान्य सुरक्षा मुद्दा क्यों है।
HLGEM
मैं यह भी इंगित करूंगा (और शायद मेरा प्रश्न इतना स्पष्ट नहीं था कि यह एक iPhone पर पोस्ट किया गया था) कि मेरी चिंता एक प्रबंधन सतह के साथ कम है और एक्सेल के साथ अधिक है और विशेष वेक्टर के रूप में एक्सेल के साथ संभावित चिंताएं हैं।
swasheck

जवाबों:

9

लगभग सबकुछ।

मैं उपयोग करने की उनकी संभावित क्षमता के साथ शुरू करूँगा xp_cmdshell(और sp_configureयदि वे ऐसा नहीं कर सकते हैं, तो वे कर सकते हैं ... और जो भी खाता वापस कर xp_cmdshell 'whoami.exe'सकता है ....) कर सकते हैं, फिर उनकी करने की क्षमता पर जाएँ drop database

आगे के जोखिमों में न केवल वित्त उपयोगकर्ताओं को ये काम करने में सक्षम होना शामिल है, बल्कि एक वित्त मशीन पर कोई कार्यक्रम जो आपके sysadmin कनेक्शन क्रेडेंशियल तक पहुंच प्राप्त कर रहा है ...

(अन्य संभावित जोखिमों में यह पता लगाने का जोखिम शामिल है कि टीपीटीबी में से एक ने इसे इस तरह स्थापित किया है)

podiluska
स्रोत
... या ड्रॉप तालिका, या हटा सकते हैं या truncate, याselect name, salary from employees
हारून बर्ट्रेंड
3
याupdate salaries set salary = 0 where employee='swasheck''s boss'
पॉडिलुस्का
5
और ये सभी संभावित रूप से दुर्भावनापूर्ण चीजें हैं। लोगों को sysadmin अधिकार देना भी संभावित आकस्मिक चीजों के लिए उन्हें उजागर करता है।
हारून बर्ट्रेंड
6

यह उन्हें मूल रूप से डेटाबेस के लिए कुछ भी करने की अनुमति देता है। वे तालिकाओं को तोड़ / बदल / बदल सकते थे। विशिष्ट रिकॉर्ड हटाएं, डालें, या बदलें। मैं आपको जल्द से जल्द इसे संबोधित करने की अत्यधिक सलाह दूंगा।

ज़ेन
स्रोत
6

एक बात जो वित्तीय लोगों को समझनी चाहिए वह यह है कि एक्सेल को सिस्टम उपयोगकर्ता देकर, आपने डेटाबेस या एप्लिकेशन में निर्मित प्रत्येक आंतरिक नियंत्रण को दरकिनार कर दिया है। एक सक्षम ऑडिटर उन्हें इसके लिए प्रेरित करेगा। उदाहरण के लिए, यदि आपके पास यह सुनिश्चित करने के लिए निर्मित नियंत्रण हैं कि दो अलग-अलग लोगों को एक व्यय को मंजूरी देनी चाहिए (संभावित धोखाधड़ी से बचने के लिए) तो एक्सेल स्प्रेडशीट को इस तरह से जोड़कर, आपने डेटा पर इस नियंत्रण को पूरी तरह से हटा दिया है।

HLGEM
स्रोत
5

यदि दुर्भावनापूर्ण उपयोगकर्ता ने आपके डेटा को नष्ट कर दिया है, तो आप बैकअप से पुनर्स्थापित कर सकते हैं - आपको इस परिदृश्य के लिए व्यवसाय के प्रभाव की गणना करने में सक्षम होना चाहिए।

क्या बुरा हो सकता है कि आपके सिस्टम में अब अखंडता नहीं है। यदि कोई उपयोगकर्ता किसी गैर-विपत्तिपूर्ण तरीके से डेटा में हेरफेर करता है, तो आपको नुकसान का पता नहीं चल सकता है जब तक कि आपके बैकअप अब उपलब्ध विकल्प नहीं हैं। उस सर्वर पर रखे गए किसी भी डेटा की वैधता पर भरोसा करने में असमर्थ होने के व्यापार के प्रभाव पर विचार करें।

SQLFox
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.