Чаму прыкладанне не выкарыстоўваць уліковы запіс са

Маё першае пытанне калі-небудзь, калі ласка, быць далікатным. Я разумею, што са рахунак дазваляе ажыццяўляць поўны кантроль над SQL Server і ўсе базы дадзеных, карыстальнікі, правы доступу і г.д.

У мяне ёсць абсалютная ўпэўненасць у тым, што прыкладання не павінны выкарыстоўваць пароль са без ўдасканаліў, дзелавой чалавек засяроджаны прычынай, чаму. Адказы на гэтае пытанне ўключае шмат маіх разваг для ІТ засяроджана абмеркаванне

Я вымушаны ў прыняцці новай сістэмы кіравання сэрвісамі, якая не будзе працаваць, калі ён не выкарыстоўвае пароль са. Я ніколі не меў часу, каб зразумець, чаму пры наладзе ацэнкі, але каманда сервера паспрабаваў ўсталяваць яго выкарыстоўваць фіксаваную ролю я падняў ўключэння db_creater і іншыя правы, я думаў, што гэта запатрабуе. які не ўдалося. Я тады няхай каманда ўстаноўкі сервера з са ўліковага запісу, але запускацца пад уліковым запісам у ПСЭ ролі сваёй базы дадзеных, але гэта таксама не атрымалася. Сварліва Я спрабаваў прымусіць яго працаваць з уліковай запісам у ролі сісадміна, але нават, што не ўдаліся, і ня з карыснымі паведамленнямі пра памылкі, якія дазволілі мне высветліць, што адбываецца, не марнуючы больш часу, чым я меў дастаткова. Яна будзе працаваць толькі з са ўліковага запісу і пароль захоўваецца ў незашыфраваным выглядзе ў файле канфігурацыі.

Калі перапытаў я гэта і каманда сервера размаўляла з прадаўцом, яны атрымалі трывожны адказ "У чым праблема з гэтым? а затым «добра мы можам паглядзець на скремблирования пароля» скремблирование эф

Я ведаю, што ёсць спосабы і сродкі, каб абмежаваць доступ да файла, але гэта проста яшчэ адна слабасць у бяспекі, на мой погляд

Ва ўсякім разе, маё пытанне, можа хто-то момант мне ў нейкай дакументацыі, што я магу выкарыстоўваць, каб растлумачыць бізнес прычыну, чаму гэта дрэнна і павінна быць вялікай няма няма. Я працую ў поле, якое азначае, што мне трэба сур'ёзна ставімся і з усіх сіл, каб зрабіць разумець бізнес і ў канчатковым рахунку, можа быць з-месца ў любым выпадку, але мне трэба, каб паспрабаваць.

21
Часта, калі прадавец кажа, што яны павінны ўвайсці ў сістэму як са відавочнай выявай гэта азначае, што яны проста не тэставалі свае прыкладання любым іншым спосабам (ці ж адзін раз і ён упаў з памылкай яны не зазіралі ў перад прыняццем рашэння «мы будзем проста прытрымлівацца з са "), які не з'яўляецца чымсьці, што б напоўніць мяне з упэўненасцю. Не прымаць гэты галсу непасрэдна з прадаўцом, хоць, запытваючы больш дыпламатычны атрымаюць лепшыя вынікі!
дададзена аўтар Bernard, крыніца
<�Код> са або любы член сісадміна , у тым ліку вокны ўваходу ў сістэму?
дададзена аўтар Brad Leach, крыніца
Вам трэба атрымаць больш інфармацыі ад пастаўшчыка. У прыватнасці, якія рэчы яны робяць, што патрабуюць са відавочна.
дададзена аўтар Aditya Chawla, крыніца
са і са толькі :-(
дададзена аўтар Maxwell Johansen, крыніца
Дэвід правільна я лічу, з маіх кароткіх адносін з прадаўцом
дададзена аўтар Maxwell Johansen, крыніца

8 адказы

Гэта залежыць ад вашага бізнесу, але галоўнае, у большасці выпадкаў, каб пераканацца, што не разглядаецца як ІТ-праблемы. Гэта <�ет> бяспекі пытанне і ў той час як два перакрыцці масава бізнесу ЛЮДЗЯМ больш схільныя слухаць, калі вы кажаце, «бяспека», чым калі б вы проста «стагнаць аб агульнай ІТ рэчы».

Працуеце Ці вы з любымі кліентамі, якія маюць патрабаванні да бяспекі? Гэта добрае месца, каб пачаць. Калі мы запусцілі прыкладанне з доступам на ўзроўні са, або проста дадатак, якое не правільна замацаваць свае ўліковыя дадзеныя, нават калі не выкарыстоўваючы priveleged доступ (настойліва аддаюць перавагу Windows Integrated, а не захоўваецца карыстальнікам/пас, дзе гэта магчыма), і мы былі прадметам бяспекі аўдыт, што аўдыт пацерпіць няўдачу, і мы рызыкуем страціць кліентаў і/або таго, каб даць грошы назад, як для кліентаў нашых груп (у банкаўскіх арганізацый у выпадку прадукту я працую ў асноўным, іншыя часткі здзелкі групы з паліцыяй і здароўе улады і г.д.) бяспека з'яўляецца часткай нашага прапановы ў прыдатным для мэтаў. Дзелавыя людзі будзе разумеюць сур'ёзнасць гэтай патэнцыйнай пагрозы, нават калі яны, як правіла, не плацяць не болей, чым на словах ІТ рэкамендацый.

Нават без уліку кліенцкіх патрабаванняў у дачыненні да, калі вы імкнецеся задаволіць стандартныя розныя галіновыя стандарты бяспекі затым зноў гэты від аўтэнтыфікацыі прыкладанняў адбываецца збой у асобе аўдыту, як гэта так далёка ад перадавой практыкі, каб быць чымсьці звычайна лічыцца на «проста не павінна быць зроблена» спіс. Разбярыцеся ў бізнес-descision мейкера, што бяспека з'яўляецца важнай часткай прыкладання, а таксама той факт, што прадавец не здаецца, каб быць у курсе (ці, па меншай меры, адпаведным чынам занепакоеныя) прымушае вас ёсць сумненні наконт таго, што інакш яны не маглі б здольныя справа: ведаючы пра бяспеку найлепшай практыцы БД (ну, павінна быць) частка іх працы і imlpementing гэта не складана.

Таксама адзначаюць, што вы (пакупнік) павінен быць дыктуючы разумныя патрабаванні бяспекі да пастаўшчыка, а не наадварот. Гэта вашы дадзеныя, каб яны не кваліфікаваныя, каб заявіць, што лічыцца дастаткова бяспечным.

21
дададзена
Я б хісткі, каб купіць што-небудзь з кучы хлопцаў, якія думаюць, што гэта нармальна, каб пакінуць ключы ад царства, які сядзіць у канфігурацыйным файле у тэкставым фармаце. Я ведаю, што гэта не ваш званок, але калі вы можаце атрымаць рашэнне, каб убачыць, што страшная думка, што ёсць, і тое, што ён кажа пра пастаўшчыка, які можа дапамагчы вашаму справе.
дададзена аўтар Zachary Yates, крыніца
Mdoyle - Праблема заключаецца ў тым, як я магу даведацца больш аб гэтым з'яўляецца рашэннем бачыць рэчы ў £ знакі і, як гэта абнаўленне з старажытнай версіі ён прыходзіць танна. Я думаю, што я выйграць бітву трохі дзякуючы добрым людзям тут. Я адклала тэставанне вэб-сервера часткі гэтага пакуль па крайняй меры,
дададзена аўтар Maxwell Johansen, крыніца
Ха. Didnt рэалізаваць дадаў каментар ўводзіце ў гэта з упэўненасцю сказаць, што там, дзе я працую, бяспеку ўсіх тыпаў з'яўляецца значнай праблемай, лічаць яго такім жа, як у паліцыю, калі вам падабаецца. Тым не менш, асобы, якія прымаюць рашэнні не бачаць са як неспакой. Аўдыт з'яўляецца добрым месцам для пачатку, і я буду даследаваць, што далей.
дададзена аўтар Maxwell Johansen, крыніца
+1 Асабліва мне спадабаўся каментар, што гэта <�я> Бяспека </я> пытанне не пытанне.
дададзена аўтар Susan, крыніца

Прыкладанне не павінна мець доступ SA - ніколі. (Калі яго адзінай мэтай з'яўляецца не адміністраванне баз дадзеных нейкі.)

Гэта агульнае правіла, ніколі не даць больш правоў на які-небудзь лагін (APPLICATION- або personal-), чым бізнес патрабуе, каб Увайсці, каб мець.

Прыкладанне не з'яўляецца цалкам бяспечным. Большасць з іх маюць нейкае SQL-ін'екцыі або XSS уразлівасці. Калі зламыснік атрымлівае выканаць заяву аб яго/яе выбары і мае доступ да «SA», ёсць шмат рэчаў, якія могуць здарыцца з вашымі дадзенымі, якія маглі б забіць бізнес імгненна. (Асабліва, калі патрэбы ў дадзеных можна давяраць, так як ён выкарыстоўваецца праваахоўнымі органамі.) Спытаеце ў трымальнікаў акцый, што яны павінны рабіць, калі хто-то змог свядома змяніць нават адну запіс, і гэтая інфармацыя пратачылася.

Зараз, з выхадам «SA», не толькі база дадзеных прыкладання можа быць зменены, але любы іншы базы дадзеных у сістэме, а таксама. Такім чынам, спытаеце ў зацікаўленых бакоў, што яны будуць рабіць, калі вы б зрабіць копію ўсіх вашых баз дадзеных і адправіць яго ў газету. Таму што можа здарыцца, калі незадаволены работнік высвятляе гэтую дзірку ў бяспецы існаваць.

Прадавец сказаў, што яны маглі зашыфраваць пароль. Гэта значыць BS. Дадатак павінен атрымаць доступ да пароля ў адкрытым выглядзе, каб яго выкарыстоўваць, таму ключ да расшыфроўваць пароль будзе захаваны расшыфроўваў прама побач з ім. Акрамя таго, як згадвалася раней, рэальная праблема заключаецца не ў кагосьці знайсці гэты пароль; гэта тое, што людзі (MIS), выкарыстоўваючы гэтую сістэму праз ўразлівасць атрымаеце поўны доступ да ўсіх баз даных, не бачачы пароль.

Найбольш верагодная прычына для SA часу патрабуецца ў тым, што прыкладанне павінна ўзаемадзейнічаць з SQL Agent. Прынамсі, адзін з самых складаных функцый па ажыццяўленню правоў, а большасць людзей проста ўзяць «выкарыстаць SA» маршрут, каб абыйсці яго. Патрабуючы «SA» сам можа быць звязана з прадаўцом, не ведаючы, як праверыць правы доступу адміністратара.

Ёсць два рашэнні, якія вы можаце паспрабаваць:

  1. Перайменаваць SA (лепшая практыка бяспекі ў любым выпадку) і стварыць новы ўліковы запіс з імем «SA» з абмежаванымі правамі. (Ніколі не спрабаваў гэта, але ён павінен працаваць)

  2. Не ўстанаўлівайце праграмнае забеспячэнне. Вы, як Profesional не можа несці адказнасць за гэта дзеянне, так што вы не павінны ўсталяваць яго. Каб даць вам параўнанне, спытаеце вадаправодчык, каб запусціць газавую лінію непасрэдна праз камін, а не вакол яго, каб зэканоміць трубы/грошы. Вы можаце смяяцца над гэтым малюнкам, але я лічу, што гэта зручны параўнанне - Гэта праграмнае забеспячэнне будзе падрываць рана ці позна, хутчэй рана. І калі ён робіць гэта можа заняць справа ўніз таксама.

Калі ўсё гэта не перашкаджае «ім» патрабаваць ад гэтага праграмнага забеспячэння, апошняя рэкамендацыя я магу даць вам бегчы. Калі нешта адбываецца з дадзенымі вы збіраецеся быць першым, каб несці адказнасць. Такім чынам, з дапамогай гэтага прыкладання на месцы вы, верагодна, не маюць якіх-небудзь гарантый занятасці, таму знайсці працадаўцы, які дае вам, па меншай меры некаторыя з іх.

19
дададзена
@GreenstoneWalker: што ён можа: змяніць лагін са з імем = [як]; .
дададзена аўтар Brad Leach, крыніца
+1 толькі для «газавай лініі непасрэдна праз камін» параўнанне.
дададзена аўтар Guy, крыніца
У SQL Server СА уліковы запіс не ўдалося перанесці. Гэта, аднак, можа быць адключана.
дададзена аўтар O. R. Mapper, крыніца
Рэмуса, які будзе служыць мне падыходзіць, абапіраючыся на SSMS, а таксама для абапіраючыся на старыя веды. Да SQL Server 2005 не ўдалося перанесці. SSMS не здаецца, каб пераносіць ўваход са але T-SQL вы размяшчае дакладна правільна.
дададзена аўтар O. R. Mapper, крыніца

Я бачу дзве лініі атакавалых гэта.

  • Compliance. Is there any mandated compliance criteria in effect in your shop? Search carefully through its wording and see if you find anything that would be incompatible with the application 'requirement'. If you find anything that prevent the sa use by an application you have a bullet proof water tight case, as the application would make your business liable etc etc.

  • User Admin Access. Make sure you present clearly the case that an application that requires sa access in effect it gives sa access to all corporate users that have admin rights on the workstations where the application is installed. There is no way to hide the sa password from local admins where the application runs, that is a fact and no amount of 'scrambling' can prevent this. There is no local root of trust that a local admin cannot get to, if he wants. Make it clear that having an application that requires sa equates to giving sa privileged to all users running the application. Explain what that means, what effectively the users can do:

    • ability to read any data in the server, not only from this application but from any other database hosted on that server
    • ability to modify any data on the server, again from any other database on the same server
    • ability to erase any trace of his actions after a modification is made
    • ability to alter any audit and history to make it appear that certain actions were done by a different user
    • ability to use the SQL Server credentials to escalate an attack on any other resource that trusts this server. This can imply any other SQL Server but other resources as well, including but not restricted to file shares, Exchanges servers etc, as the SQL Server can be used just as a stepping stone.

Растлумачыць для асоб, якія прымаюць рашэнні, што прыняцце гэтага прыкладання на ўвазе даверыўшы <�моцны> кожны супрацоўнік, які мае доступ адміністратара да працоўнай станцыі пад кіраваннем прыкладання з усімі правамі, згаданымі вышэй. Пастаўшчык будзе спрабаваць абараніць сваю пазіцыю, спасылаючыся на нейкі ці іншае з «шыфравання» кнопку са пароль для прыкладання. Гэта не вытрымлівае ніякай крытыкі. Там няма схемы шыфравання, якая можа вытрымаць атаку з боку адміністратара. І становіцца ясна, што колькасць тэхнічных навыкаў патрабуецца знайсці лакальна «схаваны» пароль зусім не мае значэння. Супрацоўнікі не збіраюцца рабіць гэта самі, адзін з іх Google для яго і адкрыць для сябе сцэнар просты ў выкарыстанні, што робіць гэта.

12
дададзена
Дзякуй Рэма. Менавіта адказ я патрабаваў. Я павольна выйграць бітву і ўсё гэта дапамагае
дададзена аўтар Maxwell Johansen, крыніца

Па-першае, пароль са захоўваюцца адкрытым тэкстам? Вы павінны галасаваць сваім кашальком. Той, хто думае, што гэта прымальныя патрэбы быць выведзеныя з бізнэсу.

Вось anology, якія могуць дапамагчы вам растлумачыць пытанне: Супрацоўнік Аліса мае патрэбу ў доступе на першы паверх. вы даяце ёй майстар-ключ да ўсяго будынка або проста ключ для першага паверха ці што? Адказ: Вы даяце ёй толькі ключы да першага паверсе. Чаму? Таму што гэта памяншае верагоднасць выпадковага ці наўмыснага пашкоджання. Калі Аліса не можа трапіць у другім пакоі падлогу сервера ў першую чаргу, то яна ніколі не будзе нічога дрэннага рабіць там.

Гэта прынцып найменшага Priviledge.

Адносна таго, чаму прыкладанне павінна выкарыстоўваць са рахунку, гэта значыць пытанне, які PerfMon або Пашыраныя падзеі павінна быць у стане адказаць. Стварэнне PerfMon трасіроўкі з дапамогай шаблону T-SQL, можа быць, адфільтраваным па імі прыкладання.

З верхняй частцы маёй галавы, вось яшчэ адзін аргумент супраць выкарыстання са: Выкарыстанне ўліковага запісу са патрабуе службы SQL Server, каб быць у мяшаным рэжыме аўтэнтыфікацыі. WIndows толькі аўтэнтыфікацыя лепш Becase мы можам выкарыстоўваць усе бяспечныя функцыі Kerberos.

7
дададзена

З тэхнічнага пункту гледжання няма ніякіх падставаў, што з дадаткам спатрэбіцца дазволу SA. Што, верагодна, адбылося тое, што распрацоўшчыкі прыкладання, магчыма, праверце, каб убачыць, калі іх Увайсці мае дазволу сістэмнага адміністратара, і калі не, то ён проста выкідвае паведамленне пра памылку. Такім чынам, яны могуць сцвярджаць, што прыкладанне патрабуе правоў SA.

Калі вы павінны мець гэта дадатак, то я б запусціць яго на асобным экзэмпляры, які не мае нічога іншага на ім.

4
дададзена
Тады шмат будзе правяраць канкрэтны ідэнтыфікатар карыстальніка. Рознагалоссі яны распрацоўшчык робіць гэта таму, што ён працуе з са, і яны не хацелі перашкаджаць, каб убачыць, якія дазволу яны на самой справе трэба, так што гэта самы просты спосаб, каб прадухіліць іншыя памылкі. Гэта зусім дзярмо падыход, і прадавец павінен быць аддаваў вакол гэта рабіць.
дададзена аўтар Karl Seguin, крыніца
Я думаю, што гэта, верагодна, правярае, калі ён працуе ў ск, а затым трывае няўдачу, паколькі яна не будзе запускацца пад уліковым запісам з сісадміна
дададзена аўтар Maxwell Johansen, крыніца

Ні адна заява не павінна патрабаваць ўліковага запісу SA і пароль для працы.

Тым не менш, я ўсталяваў прадукт кіравання ІТ-паслугі, а таксама ў працэсе ўстаноўкі ў вас ёсць магчымасць паставіць ўліковыя дадзеныя SA, каб дазволіць ўсталёўшчыку стварыць БД і прымацаваць кошт да БД для праграмнага забеспячэння для выкарыстання. Уліковыя дадзеныя ўліковага запісу SA не захоўваюцца ў дадатку або ўсталёўшчык уваходзіць у любым месцы. Гэта праграмнае забеспячэнне таксама дае магчымасць выкарыстоўваць загадзя створаныя базы дадзеных падчас ўстаноўкі.

Так што я б проста пацвердзіць, калі уліковы запіс SA патрабуецца для ўстаноўкі або эксплуатацыі дадзенага праграмнага забеспячэння кіравання паслугамі ІТ.

Калі ўстаноўка: стварыць часовы «са» рахункаў - зрабіць ўстаноўку - і выдаліць уліковы запіс.

Калі працы: Пазбягайце гэтага праграмнае забеспячэнне, як ад чумы. (Або наладзіць аўтаномны сервер SQL, які будзе толькі дом, які адна база дадзеных.)

4
дададзена
+1 для вылучанага асобніка SQL-сервера. Гэта было б добрым апошнім сродкам альтэрнатыва прадастаўленню са на рэальным серверы.
дададзена аўтар NAME_IN_CAPS, крыніца

Магчыма, ваш пастаўшчык запытвае/патрабуюць «са», таму што дзе-то ў іх ужыванні яны выкарыстоўваюць xp_cmdshell. (Не зразумейце мяне пачалася на пашкоджанне магчыма з неабмежаваным доступам да xp_cmdshell. Дастаткова сказаць, што гэта патэнцыйна адкрывае не толькі дадзеныя, але хост-машыну і, магчыма, што-небудзь яшчэ ў вашай сеткі адмін-падобны доступ)

If there's a legit need, you could give restricted access via a proxy account. See, for example, BOL: http://msdn.microsoft.com/en-us/library/ms175046.aspx

4
дададзена

Любыя пастаўкі SQL па змаўчанні параметры сістэмы бяспекі сервера павінны быць зменены. Рэкамендуецца не выкарыстоўваць змешаны рэжым (дазваляе як Windows, і праверкі сапраўднасці SQL Server) для аўтэнтыфікацыі. Замест гэтага, пераключыцца на праверку сапраўднасці Windows, толькі - што будзе праводзіць у жыццё палітыку пароляў для Windows - праверка даўжыні пароля, працягласці жыцця і гісторыі. Асаблівасцю палітыкі пароляў Windows, што робіць яго адрозным ад праверкі сапраўднасці SQL Server з'яўляецца Увайсці лакаўт - пасля таго, як шэраг паслядоўных няўдалых спробаў ўваходу Увайсці блакуецца і не можа выкарыстоўвацца для далейшага выкарыстання

З іншага боку, праверка сапраўднасці SQL Server не падае метады для выяўлення спробаў атакі грубай сілы, і што яшчэ горш, SQL Server нават аптымізаваны для апрацоўкі вялікай колькасці хуткіх спробаў уваходу ў сыстэму. Такім чынам, калі аўтэнтыфікацыя SQL Server з'яўляецца абавязковым у пэўнай сістэме SQL Server, настойліва рэкамендуецца адключыць ўваход SA

0
дададзена
Ці быў гэта няшчасны выпадак або наўмысны - каб адказаць на 2 пытання з сапраўды такім жа адказам?
дададзена аўтар Guy, крыніца
Дзякуй за каментар. Проста падумаў, што тлумачэнне можа дапамагчы ў абодвух выпадках.
дададзена аўтар Ivan Stankovic, крыніца
Цікава, але не асабліва карысна для ОП.
дададзена аўтар NAME_IN_CAPS, крыніца