데이터 생성기 보안
업데이트: 2007년 11월
데이터 생성 계획 및 사용자 지정 데이터 생성기는 팀 환경에서 공유할 수 있도록 디자인되었습니다. 데이터 생성 파일을 공유하기 전에 보안 위협이 있는지 살펴 보아야 합니다.
데이터 생성기의 보안 관련 사항은 다음과 같습니다.
데이터 생성 파일에는 스키마 정보가 들어 있습니다.
데이터 생성 계획에서 데이터 바운드 생성기 쿼리에 임의의 T-SQL(T-SQL)이 삽입될 수 있습니다.
사용자 지정 데이터 생성기에는 데이터베이스 연결 정보가 들어 있습니다.
사용자 지정 데이터 생성기에 임의의 코드가 삽입될 수 있습니다.
사용자 지정 데이터 생성기 설치 관리자에 임의의 코드가 삽입될 수 있습니다.
데이터 생성 계획 및 스키마 정보
데이터 생성 계획을 만들면 .dgen 파일에 테이블의 스키마가 포함됩니다. 데이터베이스 스키마 정보는 중요한 기밀 사항이 될 수 있습니다. 다른 사용자와 .dgen 파일을 공유하면 해당 사용자가 스키마를 볼 수 있습니다.
데이터 생성 계획은 신뢰할 수 있는 사용자와 공유해야 합니다.
데이터 생성 계획 및 악성 코드
데이터 생성 계획에 데이터 바운드 생성기가 포함되어 있는 경우 계획을 실행할 때 실행되는 T-SQL 쿼리를 작성하게 됩니다. 이를 통해 데이터 생성 계획 내에서 임의의 T-SQL이 실행될 수 있습니다.
데이터 생성 계획의 출처를 항상 신뢰할 수 있어야 하며, 최종 사용자가 출처를 신뢰할 수 없는 데이터 생성 계획을 실행하지 않도록 경고해야 합니다.
사용자 지정 데이터 생성기 및 연결 정보
모든 사용자 지정 데이터 생성기는 런타임에 데이터베이스 연결 문자열에 액세스할 수 있습니다. 악성 사용자 지정 생성기를 통해 연결 문자열 정보가 노출될 수 있습니다.
사용자 지정 데이터 생성기의 출처를 항상 신뢰할 수 있어야 하며, 최종 사용자가 출처를 신뢰할 수 없는 사용자 지정 데이터 생성기를 사용하지 않도록 경고해야 합니다.
사용자 지정 데이터 생성기 및 악성 코드
사용자 지정 데이터 생성기는 임의의 코드가 포함될 수 있는 클래스입니다. 사용자 지정 데이터 생성기를 사용하면 현재 사용자와 같은 권한으로 실행됩니다. 이를 통해 악성 코드가 FullTrust 모드로 실행될 수 있습니다.
사용자 지정 데이터 생성기의 출처를 항상 신뢰할 수 있어야 하며, 최종 사용자가 출처를 신뢰할 수 없는 사용자 지정 데이터 생성기를 사용하지 않도록 경고해야 합니다.
사용자 지정 데이터 생성기 설치 관리자 및 악성 코드
사용자 지정 데이터 생성기를 설치하는 배포 프로젝트를 만들 수 있습니다. 배포 프로젝트에는 임의의 코드가 포함될 수 있습니다. 사용자 지정 데이터 생성기 설치 관리자를 실행하면 설치 관리자가 높은 권한으로 실행됩니다. 이를 통해 악성 코드가 높은 권한으로 실행될 수 있습니다.
사용자 지정 데이터 생성기 설치 관리자의 출처를 항상 신뢰할 수 있어야 하며, 최종 사용자가 출처를 신뢰할 수 없는 사용자 지정 데이터 생성기 설치 관리자를 실행하지 않도록 경고해야 합니다.