Sicherheit von Datengeneratoren
Aktualisiert: November 2007
Datengenerierungspläne und benutzerdefinierte Datengeneratoren sind für die gemeinsame Verwendung in einer Teamumgebung konzipiert. Bevor Sie Datengenerierungsdateien freigeben, müssen Sie erwägen, ob Sicherheitsrisiken vorhanden sind.
Datengeneratoren weisen die folgenden Sicherheitsaspekte auf:
Datengenerierungsdateien enthalten Schemainformationen.
Datengenerierungspläne sind anfällig für das Einfügen von beliebigen Transact-SQL (T-SQL)-Anweisungen in Abfragen datengebundener Generatoren.
Benutzerdefinierte Datengeneratoren enthalten Datenbankverbindungsinformationen.
Benutzerdefinierte Datengeneratoren sind anfällig für das Einfügen von beliebigem Code.
Installationsprogramme für benutzerdefinierte Datengeneratoren sind anfällig für das Einfügen von beliebigem Code.
Datengenerierungspläne und Schemainformationen
Wenn Sie einen Datengenerierungsplan erstellen, enthält die DGEN-Datei das Schema der Tabellen. Datenbankschemainformationen können als Geschäftsgeheimnis betrachtet werden. Wenn Sie eine DGEN-Datei freigeben, ist das Schema für die Person sichtbar, für die Sie die Datei freigeben.
Geben Sie Datengenerierungspläne nur für vertrauenswürdige Quellen frei.
Datengenerierungspläne und bösartiger Code
Wenn ein Datengenerierungsplan einen datengebundenen Generator enthält, schreiben Sie eine T-SQL-Abfrage, die gemeinsam mit dem Plan ausgeführt wird. Dies ermöglicht die Ausführung von beliebigen T-SQL-Anweisungen in einem Datengenerierungsplan.
Achten Sie darauf, dass Sie Datengenerierungspläne von vertrauenswürdigen Quellen erhalten, und warnen Sie Endbenutzer davor, Datengenerierungspläne auszuführen, die sie von nicht vertrauenswürdigen Quellen erhalten.
Benutzerdefinierte Datengeneratoren und Verbindungsinformationen
Alle benutzerdefinierten Datengeneratoren können zur Laufzeit auf die Datenbankverbindungszeichenfolge zugreifen. Ein bösartiger benutzerdefinierter Generator kann die Verbindungszeichenfolgeninformationen verfügbar machen.
Achten Sie darauf, dass Sie benutzerdefinierte Datengeneratoren von vertrauenswürdigen Quellen erhalten, und warnen Sie Endbenutzer vor der Verwendung von benutzerdefinierten Datengeneratoren, die sie von nicht vertrauenswürdigen Quellen erhalten.
Benutzerdefinierte Datengeneratoren und bösartiger Code
Benutzerdefinierte Datengeneratoren sind Klassen, die beliebigen Code enthalten können. Wenn Sie einen benutzerdefinierten Datengenerator verwenden, wird er mit den Berechtigungen des aktiven Benutzers ausgeführt. Hierdurch kann bösartiger Code im FullTrust-Modus ausgeführt werden.
Achten Sie darauf, dass Sie benutzerdefinierte Datengeneratoren von vertrauenswürdigen Quellen erhalten, und warnen Sie Endbenutzer vor der Verwendung von benutzerdefinierten Datengeneratoren, die sie von nicht vertrauenswürdigen Quellen erhalten.
Installationsprogramme für benutzerdefinierte Datengeneratoren und bösartiger Code
Sie können Bereitstellungsprojekte zum Installieren von benutzerdefinierten Datengeneratoren erstellen. Bereitstellungsprojekte können beliebigen Code enthalten. Wenn Sie ein Installationsprogramm für einen benutzerdefinierten Datengenerator ausführen, wird das Installationsprogramm mit erweiterten Berechtigungen ausgeführt. Hierdurch kann bösartiger Code mit erweiterten Berechtigungen ausgeführt werden.
Achten Sie darauf, dass Sie Installationsprogramme für benutzerdefinierte Datengeneratoren von vertrauenswürdigen Quellen erhalten, und warnen Sie Endbenutzer vor der Verwendung von Installationsprogrammen für benutzerdefinierte Datengeneratoren, die sie von nicht vertrauenswürdigen Quellen erhalten.
Siehe auch
Konzepte
Übersicht über die Erweiterbarkeit von Datengeneratoren
Weitere Ressourcen
Generieren von Testdaten mit Datengeneratoren
Übersicht über das Generieren von Daten