xp_cmdshell (Transact-SQL)
適用対象: 
SQL Server
Windows のコマンド シェルを起動し、実行用の文字列に渡します。 出力は、テキストの行として返されます。
構文
xp_cmdshell { 'command_string' } [ , NO_OUTPUT ]
引数
'command_string'
オペレーティング システムに渡されるコマンドを含む文字列。 command_string は varchar(8000) または nvarchar(4000)で、既定値はありません。 command_string 複数の二重引用符を含めることはできません。 command_stringで参照されるファイル パスまたはプログラム名にスペースが存在する場合は、単一の二重引用符が必要です。 埋め込みスペースに問題がある場合は、回避策として FAT 8.3 ファイル名を使用することを検討してください。
NO_ OUTPUT
クライアントに出力を返さないことを指定する省略可能なパラメーター。
リターン コードの値
0 (成功) または 1 (失敗)。
結果セット
次の xp_cmdshell ステートメントを実行すると、現在のディレクトリの一覧が返されます。
EXEC xp_cmdshell 'dir *.exe';
GO
行は、 nvarchar(255) 列で返されます。 NO_OUTPUT オプションを使用すると、次の出力のみが返されます。
The command(s) completed successfully.
解説
xp_cmdshellによって生成された Windows プロセスには、SQL Server サービス アカウントと同じセキュリティ権限があります。
注意事項
xp_cmdshell は強力な機能であり、既定では無効になっています。 xp_cmdshell は、ポリシー ベースの管理を使用するか、 sp_configureを実行して有効または無効にすることができます。 詳細については、「 サーフェス領域の構成 および xp_cmdshell (サーバー構成オプション)を参照してください。 xp_cmdshell を使うと、セキュリティ監査ツールをトリガーできます。
xp_cmdshell は同期的に動作します。 command-shell コマンドが完了するまで、コントロールは呼び出し元に返されません。 xp_cmdshellがバッチ内で実行され、エラーが返された場合、バッチは失敗します。
xp_cmdshell プロキシ アカウント
sysadmin固定サーバー ロールのメンバーではないユーザーによって呼び出されると、xp_cmdshellは、##xp_cmdshell_proxy_account## という名前の資格情報に格納されているアカウント名とパスワードを使用して Windows に接続します。 このプロキシ資格情報が存在しない場合、 xp_cmdshell は失敗します。
プロキシ アカウントの資格情報は、 sp_xp_cmdshell_proxy_accountを実行して作成できます。 このストアド プロシージャは、Windows のユーザー名とパスワードを引数にとります。 たとえば、次のコマンドは、Windows パスワード sdfh%dkc93vcMt0を持つ Windows ドメイン ユーザー SHIPPING\KobeRのプロキシ資格情報を作成します。
EXEC sp_xp_cmdshell_proxy_account 'SHIPPING\KobeR', 'sdfh%dkc93vcMt0';
詳細については、「 sp_xp_cmdshell_proxy_account」を参照してください。
アクセス許可
悪意のあるユーザーは、 xp_cmdshellを使用して特権を昇格しようとする場合があるため、 xp_cmdshell は既定で無効になっています。 sp_configureまたは Policy Based Management を使用して有効にします。 詳細については、「 xp_cmdshell サーバー構成オプション」を参照してください。
最初に有効にすると、 xp_cmdshell は実行するために CONTROL SERVER アクセス許可を必要とし、 xp_cmdshell によって作成された Windows プロセスは SQL Server サービス アカウントと同じセキュリティ コンテキストを持ちます。 SQL Server サービス アカウントには、多くの場合、 xp_cmdshellによって作成されたプロセスによって実行される作業に必要なよりも多くのアクセス許可があります。 セキュリティを強化するには、 xp_cmdshell へのアクセスを高い特権を持つユーザーに制限する必要があります。
管理者以外が xp_cmdshellを使用できるようにし、SQL Server が特権の低いアカウントのセキュリティ トークンを使用して子プロセスを作成できるようにするには、次の手順に従います。
プロセスに必要な最小限の特権を持つ Windows ローカル ユーザー アカウントまたはドメイン アカウントを作成してカスタマイズします。
sp_xp_cmdshell_proxy_accountシステム手順を使用して、その最小特権アカウントを使用するようにxp_cmdshellを構成します。Note
また、SQL Server Management Studio を使用してこのプロキシ アカウントを構成するには、オブジェクト エクスプローラーのサーバー名で Properties を右クリックし、Server プロキシ アカウント セクションの [Security] タブを確認します。
Management Studio で、
masterデータベースを使用して、次の Transact-SQL ステートメントを実行して、特定の非sysadmin ユーザーにxp_cmdshellを実行できるようにします。 指定したユーザーは、masterデータベースに存在する必要があります。GRANT exec ON xp_cmdshell TO N'<some_user>';
管理者以外のユーザーは、 xp_cmdshell を使用してオペレーティング システム プロセスを起動できるようになりました。これらのプロセスは、構成したプロキシ アカウントのアクセス許可を使用して実行されます。 CONTROL SERVER 権限 ( sysadmin 固定サーバー ロールのメンバー) を持つユーザーは、 xp_cmdshellによって起動される子プロセスに対する SQL Server サービス アカウントのアクセス許可を引き続き受け取ります。
オペレーティング システム プロセスを起動するときに xp_cmdshell によって使用されている Windows アカウントを確認するには、次のステートメントを実行します。
EXEC xp_cmdshell 'whoami.exe';
別のログインのセキュリティ コンテキストを確認するには、次の Transact-SQL コードを実行します。
EXEC AS LOGIN = '<other_login>';
GO
xp_cmdshell 'whoami.exe';
REVERT;
例
A. 実行可能ファイルの一覧を返す
次の例では、ディレクトリ コマンドを実行する xp_cmdshell 拡張ストアド プロシージャを示します。
EXEC master..xp_cmdshell 'dir *.exe'
B. 出力を返さない
次の例では、 xp_cmdshell を使用して、クライアントに出力を返さずにコマンド文字列を実行します。
USE master;
EXEC xp_cmdshell 'copy c:\SQLbcks\AdvWorks.bck
\\server2\backups\SQLbcks', NO_OUTPUT;
GO
C: 戻り値の状態を使用する
次の例では、 xp_cmdshell 拡張ストアド プロシージャも戻り状態を示しています。 戻りコード値は変数 @resultに格納されます。
DECLARE @result INT;
EXEC @result = xp_cmdshell 'dir *.exe';
IF (@result = 0)
PRINT 'Success'
ELSE
PRINT 'Failure';
D. 変数の内容をファイルに書き込む
次の例では、@var 変数の内容を、現在のサーバー ディレクトリにある var_out.txt というファイルに書き込みます。
DECLARE @cmd SYSNAME,
@var SYSNAME;
SET @var = 'Hello world';
SET @cmd = 'echo ' + @var + ' > var_out.txt';
EXEC master..xp_cmdshell @cmd;
E. コマンドの結果をファイルにキャプチャする
次の例では、現在のディレクトリの内容を、現在のサーバー ディレクトリの dir_out.txt という名前のファイルに書き込みます。
DECLARE @cmd SYSNAME,
@var SYSNAME;
SET @var = 'dir /p';
SET @cmd = @var + ' > dir_out.txt';
EXEC master..xp_cmdshell @cmd;