3 votes

Ian Mackinnon avatar

Comment puis-je sécuriser SQL Server Enterprise Manager ?

Demandé el 8 de Septembre, 2010
Quand la question a-t-elle été
1226 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je viens de découvrir un ordinateur servant des données sensibles à partir de MS SQL Server qui semble n'avoir pratiquement aucune protection de sécurité. J'aimerais protéger cette boîte aussi rapidement que possible.

Mon problème est que je suis un administrateur Linux sans expérience des bases de données Microsoft et que je travaille dans un bureau éloigné sans personnel informatique. (L'installation est également en espagnol, alors pardonnez-moi si j'ai mal compris certains noms).

J'ai donc trouvé un programme appelé SQL Server Enterprise Manager (il n'y a pas de numéro de version dans la boîte de dialogue 'about', mais le copyright dans les fichiers d'aide indique '1988-2000') qui me permet de lire toutes les données, de créer des comptes et de modifier les mots de passe des comptes existants. Il ne me demande pas de mot de passe.

Comment puis-je combler ce trou béant dans la sécurité ?

Cette situation suggère-t-elle l'existence d'autres vulnérabilités que je devrais vérifier ?

Demandé el 8 de Septembre, 2010 par Ian Mackinnon

Réponses

Trop de publicités?

4voto

Sean Kearon avatar
Sean Kearon Points 2670

Il se peut que vous transmettiez l'authentification Windows au serveur - et si vous êtes un administrateur de domaine/administrateur d'ordinateur, vous serez en mesure d'accéder à toute installation 2000 et à la plupart des installations 2005.

Après avoir déterminé comment vous vous connectez, vous devez effectuer un audit de sécurité, en vérifiant d'abord les rôles de sécurité du serveur, pour voir qui est listé comme administrateur système. Cela devrait être sous le nœud de sécurité sous l'instance de base de données, pas sous les bases de données individuelles - je me réfère à la hiérarchie de l'arborescence dans EM.

Vous pouvez ensuite vous plonger dans les bases de données si nécessaire pour verrouiller les autorisations et rendre les choses sûres et stables. Vous pouvez également changer le mot de passe sa, qui est une porte dérobée SQL vous permettant de vous connecter lorsque vous êtes bloqué.

http://technet.microsoft.com/en-us/library/cc966456.aspx

J'essaierais également de lancer l'analyseur de meilleures pratiques.

http://www.microsoft.com/downloads/details.aspx?familyid=b352eb1f-d3ca-44ee-893e-9e07339c1f22&displaylang=en

Répondu el 8 de Septembre, 2010 par Sean Kearon (2670 Points )

0 votes

Avatar de Ian Mackinnon

Merci. Oui, il semble que beaucoup d'utilisateurs aient des droits trop élevés et pas assez de mots de passe. Je vais renforcer les mots de passe et élaguer les permissions, mais comme le seul compte BD que je vois est sa Je crains qu'ils ne perdent l'accès à l'application d'interface de la base de données lorsque leurs comptes Windows n'ont pas d'autorisations pour la base de données, à moins qu'ils ne s'authentifient à l'aide de l'interface de la base de données. sa ce qui semble être une très mauvaise situation aussi.

Commenté el 8 de Septembre, 2010 par Ian Mackinnon

0 votes

Avatar de Sean Kearon

Les applications utilisant sa sont définitivement à proscrire. Il est malheureusement fréquent que les développeurs mettent la main sur une machine et ne s'embarrassent pas de sécurité pour faciliter les choses. Vous devriez déterminer exactement comment ce système est utilisé avant de changer les permissions et de le perturber. Vous pouvez observer l'activité en utilisant sql server profiler pour créer une trace. Vous pouvez également lancer le moniteur d'activité dans EM pour voir les connexions actuelles.

Commenté el 8 de Septembre, 2010 par Sean Kearon

0 votes

Avatar de Sean Kearon

Et si le seul compte de sécurité sur l'ensemble de la machine est sa, vous devez créer de nouveaux comptes SQL avec la sécurité appropriée ou commencer à faire en sorte que les applications s'authentifient avec Windows auth (de préférence). Les groupes de sécurité globale de Windows sont vos amis.

Commenté el 8 de Septembre, 2010 par Sean Kearon
Afficher 2 autres commentaires

0voto

joeqwerty avatar
joeqwerty Points 106914

Le problème est-il que cet ordinateur accède activement aux données de votre serveur SQL et les exploite ou est-ce que vous êtes en mesure d'accéder au serveur SQL, apparemment sans restriction... car ce sont deux choses totalement différentes. Des détails seraient également utiles, comme la version et l'édition du serveur SQL que vous exécutez ?

SQL Server Enterprise Manager est utilisé pour gérer SQL 2000 et les versions antérieures. SQL Server Management Studio est utilisé pour gérer SQL 2005 et les versions ultérieures.

Répondu el 8 de Septembre, 2010 par joeqwerty (106914 Points )

0 votes

Avatar de Ian Mackinnon

Le problème est que l'accès est actuellement sans restriction. Je n'ai aucune preuve d'exploitation. Je n'arrive pas à trouver un numéro de version, mais comme "Enterprise Manager" est la traduction la plus proche ("Administrador Corporativo" ici), compte tenu de ce que vous dites, il doit s'agir de SQL 2000. Merci.

Commenté el 8 de Septembre, 2010 par Ian Mackinnon

0voto

Paco avatar
Paco Points 6156

Si vous ne pouvez pas supprimer SQL Server Enterprise Manager, vous pouvez supprimer l'enregistrement du serveur SQL ou cocher l'option "demander toujours le nom d'utilisateur et le mot de passe" dans l'enregistrement du serveur.

Vérifiez également le mot de passe sa (root) pour sql server, car jusqu'à SQL Server 2000, il était possible de le laisser vide !

Répondu el 8 de Septembre, 2010 par Paco (6156 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X