Потенциальные риски пользователей, подключающихся к SQL Server через Excel, в качестве системного администратора?

8

Недавно я обнаружил, что большая часть финансового отдела использует Excel для подключения к моему экземпляру SQL Server 2000 с учетной записью в роли sysadmin. Каковы мои текущие риски, которые я должен немедленно сообщить властям, которые будут?

sql-server security

— swasheck
источник

Возможный дубликат Почему плохая практика разрешать всем использовать логин sa?

— Джон Зигель

1

TPTB = полномочия, которые будут

— датагод

1

@JonSeigel, я укажу, что мой ответ относится конкретно к тому, чтобы помочь объяснить, почему это плохая финансовая практика, а также является более общей проблемой безопасности для всех dbs в вопросе, с которым вы связаны.

— HLGEM

Я также укажу (и, возможно, мой вопрос не был достаточно ясным, учитывая, что он был размещен на iPhone), что моя проблема не столько в области управления, сколько в Excel и потенциальные проблемы с Excel как отдельным вектором.

— swasheck

9

Почти все.

Я бы начал с их потенциальной способности использовать xp_cmdshell(и sp_configureесли они не могут, так что тогда они могут ... и все, что xp_cmdshell 'whoami.exe'может сделать аккаунт, возвращенный аккаунтом ...), а затем перешел бы к их способности делать drop database.

Дальнейшие риски включают не только пользователей финансов, которые могут делать эти вещи, но и любую программу на финансовом компьютере, получающую доступ к вашим учетным данным для подключения сисадмина ...

(Другие потенциальные риски включают риск обнаружения того, что один из TPTB настроил его таким образом)

— podiluska
источник

... или удалить таблицу, или удалить, или усечь, илиselect name, salary from employees

— Аарон Бертран

3

илиupdate salaries set salary = 0 where employee='swasheck''s boss'

— подилушка

5

И это все потенциально опасные вещи. Предоставление людям прав sysadmin также подвергает их потенциально случайным вещам.

— Аарон Бертран

6

Это позволяет им в основном делать все, что они хотят с базой данных. Они могут усекать / изменять / удалять таблицы. Удалить, вставить или изменить конкретные записи. Я настоятельно рекомендую вам решить эту проблему как можно скорее.

— Зейн
источник

6

Финансовые люди должны понимать одну вещь: предоставляя Excel системного пользователя, вы обойдете все внутренние средства контроля, встроенные в базу данных или приложение. Компетентный одитор потушит их за это. Так, например, если у вас есть встроенные элементы управления, чтобы гарантировать, что два разных человека должны утвердить расходы (чтобы избежать возможного мошенничества), то, подключив таким образом электронную таблицу Excel, вы полностью удалили этот элемент управления для данных.

— HLGEM
источник

5

Если злонамеренный пользователь уничтожил ваши данные, вы можете восстановить данные из резервной копии - вы сможете рассчитать влияние на бизнес для этого сценария.

Хуже всего то, что ваша система больше не имеет целостности. Если пользователь манипулирует данными не катастрофическим образом, вы не сможете обнаружить повреждение до тех пор, пока резервные копии больше не будут доступны. Рассмотрите влияние бизнеса на неспособность доверять действительности любых данных, размещенных на этом сервере.

— SQLFox
источник