Securing DTS Packages Stored in SQL Server
For packages that were created in Microsoft SQL Server 2000 Data Transformation Services (DTS) and that are stored in the msdb database, there is a potential security issue.Ten problem polega na wykonywanie typowych zadań dla tych pakietów DTS procedury składowane w systemie.(procedura przechowywana sp_enum_dtspackages, która wyświetla listę pakietów DTS, które są przechowywane w bazie danych msdb jest przykładowa systemowa procedura składowana, która wykonuje wspólne zadania.Innym przykładem jest sp_get_dtspackage systemowa procedura składowana, ładuje pakiecie DTS do aplikacji klient). SQL Server 2000 Enterprise Manager SQL Server Management Studiooraz DTS API wszystkich wykonywanie typowych zadań za pomocą tych procedur przechowywanych.
Jak najszybciej zapoznać potencjalny problem z zabezpieczeniami, który jest skojarzony z DTS procedury składowane w systemie, wtedy można podjąć odpowiednie działania w celu zmniejszenia tego potencjalnie.
Important Note: |
---|
Usług transformacja danych (DTS) została zaniechana.Aby uzyskać więcej informacji zobaczData Transformation Services (DTS). |
Opis potencjalny problem z zabezpieczeniami
W wersjach SQL Server ealier niż SQL Server 2008, wykonać na niektórych DTS procedury składowane w systemie jest przyznawane publicznego. Za pomocą tej opcji, każdy, kto może logować się do bazy danych msdb może wykonywać następujące zadania:
Uzyskaj listę pakietów DTS.
Pobrać pakiety sami.
Zapisz nowe pakiety.
Tylko właściciel pakietu można jednak zmodyfikować istniejący pakiet, zapisując nową wersja pakietu lub usunąć istniejący pakiet.(DTS modyfikuje pakiet przez zapisanie nowej wersja pakietu.DTS nie zastąpi bieżącej wersja pakiet.)
Potencjalny problem z zabezpieczeniami występuje, gdy łączy się z aplikacji SQL Server za pomocą identyfikatora logowania, który jest właścicielem pakiety DTS. W tym scenariuszu istnieje ryzyko, że na atak iniekcji SQL może zmodyfikować lub usunąć istniejące pakiety.
Wpływ DTS procedury składowane w systemie
Na poniższej liście identyfikuje DTS procedury składowane w systemie, których wykonać prawo przysługuje publicznego i który może być przyczyną potencjalnego problemu zabezpieczeń:
sp_add_dtspackage
sp_drop_dtspackage
sp_dump_dtslog_all
sp_dump_dtspackagelog
sp_dump_dtssteplog
sp_dump_dtstasklog
sp_enum_dtspackagelog
sp_enum_dtspackages
sp_enum_dtssteplog
sp_enum_dtstasklog
sp_get_dtspackage
sp_get_dtsversion
sp_log_dtspackage_begin
sp_log_dtspackage_end
sp_log_dtsstep_begin
sp_log_dtsstep_end
sp_log_dtstask
sp_make_dtspackagename
sp_reassign_dtspackageowner
DTS procedury składowane w systemie, czy nie dotyczy
Na poniższej liście identyfikuje DTS procedury składowane w systemie, których wykonać po prawej nie jest przyznawane publicznego:
sp_add_dtscategory
sp_drop_dtscategory
sp_enum_dtscategories
sp_modify_dtscategory
sp_reassign_dtspackagecategory
Chociaż te procedury składowane w systemie mają "dts" w swoim imieniu, procedury te nie stanowią potencjalny problem z zabezpieczeniami, który opisano w tym temacie.
Zmniejszanie potencjalny problem z zabezpieczeniami
Aby zwiększyć bezpieczeństwo pakietów DTS SQL Server 2008 uległa zmianie ustawień domyślnych w następujących okolicznościach:
Nowa instalacja.Podczas wykonywania nowej instalacji SQL Server 2008, wykonać na DTS procedury składowane w systemie odwołaniu do publicznego. Uprawnienia do zarządzania i uruchamiania pakiety DTS znajdują się tylko z i do następnej Integration Services role bazy danych poziom:
db_ssisadmin
db_ssisltduser
db_ssisoperator
Jeśli później importować pakiety DTS do bazy danych msdb w tym wystąpieniu programu SQL Server 2008, tylko te konta, które należą do nich Integration Services role będą mogli zarządzać i pomyślnie uruchomić pakiety DTS.
Uaktualnienie.Po uaktualnieniu wcześniejszej wersja programu SQL Server Aby SQL Server 2008, wykonać bezpośrednio w systemie DTS procedur przechowywanych nie został odwołany dla publicznego. Pozwala to zachować zgodność z istniejącymi aplikacjami.Uaktualnienie także przyznaje uprawnienia wykonywania na trzy Integration Services role poziom bazy danych, które są wymienione we wcześniejszej części tego tematu. Jak najszybciej administrator systemu należy uruchomić procedura przechowywana, którą opisano w następnej sekcji, aby odebrać wykonać bezpośrednio z publicznego.
Aby uzyskać informacje dotyczące Integration Services role, zobacz Using Integration Services Roles.
Za pomocą sp_dts_secure nowa procedura przechowywana
SQL Server 2008 obejmuje nowe systemowa procedura składowana, sp_dts_secure podczas zarządzania zabezpieczeniami pakietów DTS.Procedura ta ma jedną wymaganego parametru wejściowego.Ten parametr odwołuje lub udziela publicznych wykonać pocedures przechowywane uprawnienia w systemie DTS:
Odwołaj uprawnienia wykonywania publicznych i zezwolić na dostęp tylko do i za pośrednictwem Integration Services role poziom bazy danych, uruchomić procedurę sp_dts_secure z parametrem 1:
sp_dts_secure 1
Aby ograniczyć dostęp do DTS przechowywane procedury dla autoryzowanych użytkowników, uruchomić tę procedurę, po uaktualnienia i zastosować Integration Services role poziom bazy danych.
Uwaga
Podczas wykonywania nowej instalacji SQL Server 2008Instalator wykonuje dwie akcje na procedury składowane w systemie DTS. Instalator najpierw odwołuje wykonać prawo do publicznego.Następnie Instalator udziela praw wykonać do Integration Services role poziom bazy danych, które są wymienione we wcześniejszej części tego tematu. Jednak podczas ręcznego uruchamiania sp_dts_secure 1, to procedura przechowywana tylko odwołuje wykonać bezpośrednio w systemie DTS procedur przechowywanych dla publicznego.Konieczne jest zastosowanie Integration Services Baza danych — poziom role oddzielnie.
Przyznać publicznych wykonać uprawnienia DTS procedura przechowywana, uruchomić procedurę sp_dts_secure z parametrem, zestaw na 0:
sp_dts_secure 0
Tej procedury można użyć w nowych scenariuszy instalacji, jeśli zachodzi potrzeba zachowania zgodności z istniejącymi aplikacjami, w czasie, gdy konieczne jest przygotowanie do ponownego włączenia ograniczeń zabezpieczeń.
|