Securing Reports and Resources
zestaw zabezpieczenia dla poszczególnych raportów i zasobów, aby kontrolować poziom dostępu użytkowników do tych elementów.Domyślnie, tylko użytkownicy, którzy są członkami z Administratorzy wbudowanej grupy mogą uruchamiać raporty, przeglądanie zasobów, modyfikować właściwości i usunąć elementy.Wszyscy pozostali użytkownicy muszą mieć utworzonych dla nich przypisania ról, zezwalające na dostęp do raportu lub zasób.
Oparte na rolach dostępu do raportów i zasobów
Aby udzielić dostępu do zasobów i raportów, można zezwolić użytkownikom na dziedziczyć istniejące przypisania ról od folderu nadrzędnego lub utworzyć nowe przypisanie roli w samym elemencie.
W większości przypadków prawdopodobnie można użyć uprawnień, które są dziedziczone po folderze nadrzędnym.Ustawianie zabezpieczeń na poszczególne raporty oraz zasób powinny być tylko niezbędne, jeśli chcesz ukryć, raport lub zasób od użytkowników, którzy nie muszą wiedzieć, że istnieje raport lub zasób lub zwiększyć poziom dostępu dla raportu lub element.Nie wykluczają się te cele.Ograniczanie dostępu do raportu, aby był mniejszy zestaw użytkowników i dostarcza dodatkowych uprawnień do zarządzania na nim wszystkie lub niektóre z nich.
Może być konieczne utworzenie wielu przypisań ról osiągnąć swoje cele.Załóżmy na przykład raport, który chcesz udostępnić użytkownikom dwie pods i Fernando i do grupy Menedżerowie zasób ludzkich.Pods i Fernando muszą być w stanie zarządzania raportu, ale członkowie menedżerowie zasób ludzkich tylko trzeba go uruchomić.Aby uwzględnić wszystkie z tych użytkowników, należy utworzyć trzy przypisania ról oddzielne: jeden dokonać pods Menedżer zawartości raportu, należy wprowadzić Fernando Menedżer zawartości raportu i jedną do obsługi tylko do widoku zadań dla grupy Menedżerowie zasób ludzkich.
Po ustawieniu zabezpieczeń, w raporcie lub zasób, te ustawienia pozostają razem z elementem, nawet wtedy, gdy przenieść element do nowej lokalizacji.Na przykład, jeśli przeniesiesz raportu, że dozwolone są tylko kilka osób dostępu, raport będzie nadal udostępniane tylko tym użytkownikom, nawet wtedy, gdy zostanie przeniesiony do folderu, który ma zasadę zabezpieczeń stosunkowo otwarte.
Uruchomienie HTML ograniczające zagrożenie w przypadku przed atakami w raport opublikowany lub w dokumencie
W Reporting Services, raportów i zasoby są przetwarzane z tożsamością zabezpieczeń użytkownika, który jest uruchomiony raport. Jeśli raport zawiera wyrażeń, skrypt, raport niestandardowy elementów lub zestawów niestandardowych, kod ten jest uruchamiana poświadczenia użytkownika.Jeśli zasób jest dokument HTML, który zawiera skrypt, skrypt zostanie uruchomiony, kiedy użytkownik otwiera dokument serwer raportów.Zdolność do uruchamiania skryptów lub kodu w raporcie jest zaawansowanych funkcji, która jest dostarczany z poziomem ryzyka.Jeśli kod jest złośliwy, serwer raportów i użytkownik, który jest uruchomiony w raporcie jest narażony na ataki.
Udzielanie dostępu do raportów oraz do zasobów, które są przetwarzane w formacie HTML, to trzeba pamiętać, że raporty są przetwarzane w pełne zaufanie i tym potencjalnie niebezpiecznego skryptu może być wysłany do klient.W zależności od ustawień przeglądarki klient będzie wykonywał HTML poziom zaufania, które określono w przeglądarce.
Zagrożenie można zmniejszyć ryzyko uruchomienia niebezpiecznego skryptu, wykonując następujące środki ostrożności:
Należy szczególną ostrożność przy podejmowaniu decyzji, które mogą publikować zawartość serwer raportów.Ponieważ istnieje możliwość publikowania niebezpieczną zawartość, należy ograniczyć użytkowników, którzy mogą publikować zawartość w niewielkiej liczby zaufanym użytkownikom.
Wszystkich wydawców, należy unikać publikowania raportów i zasobów, pochodzących z nieznanych lub niezaufanych źródeł.W razie potrzeby otwórz plik w edytorze tekstów i poszukaj skryptu podejrzanych i adresów URL.
Atakom ograniczające zagrożenie iniekcją SQL w raporcie sparametryzowana
W dowolnym raporcie, który zawiera parametr typu String, należy użyć listy dostępnych wartości (nazywane także lista prawidłowych wartości) i upewnij się, że każdy użytkownik, uruchamianie raportu ma tylko uprawnienia wymagane do wyświetlania danych w raporcie. Po zdefiniowaniu parametr typu String, użytkownik jest wyświetlane pole tekstowe, które może przyjmować dowolne wartości. Lista dostępnych wartości ogranicza wartości, które można wprowadzić.Jeśli parametr raportu jest powiązany z parametrem zapytania i nie jest używana lista dostępnych wartości, możliwe jest, że użytkownik raportu wpisze w polu tekstowym kod w języku SQL, który potencjalnie może narazić raport oraz serwer na atak polegający na wprowadzeniu kodu SQL.Posiadanie przez użytkownika wystarczających uprawnień do wykonania nowej instrukcji SQL może spowodować powstanie niepożądanych wyników na serwerze.
Jeśli parametr raportu nie jest związany parametr kwerendy i wartości parametrów są uwzględnione w raporcie, możliwe jest raport użytkownikowi wpisz składni wyrażenie lub adres URL do wartości parametru i renderowania raportu do programu Excel lub HTML.Jeśli następnie inny użytkownik wyświetli raport i kliknie zawartość renderowanego parametru, może w niezamierzony sposób wykonać złośliwy skrypt lub łącze.
Aby zmniejszyć ryzyko niezamierzonego uruchamiania złośliwych skryptów, należy otwierać tylko te renderowane raporty, które pochodzą z zaufanych źródeł.
Uwaga
W poprzednich wersjach można znaleźć w dokumentacji została dostarczona z przykładem tworzenia dynamicznego kwerendy jako wyrażenie.Ten typ kwerendy tworzy luki do ataków iniekcji SQL i dlatego nie jest zalecane.
Zabezpieczanie poufne raporty
Raporty zawierające informacje poufne mają być zabezpieczone poziom dostępu do danych przez wymaganie od użytkowników o podanie poświadczenia w celu uzyskania dostępu do danych poufnych.Aby uzyskać więcej informacji zobacz Specifying Credential and Connection Information for Report Data Sources. Można również zabezpieczyć folder, aby stał się niedostępny dla nieautoryzowanych użytkowników.Aby uzyskać więcej informacji zobacz Securing Folders.
See Also