Aracılığıyla paylaş


Tümleşik güvenlik ve ayrıcalık yükselmesine izin

Bir hesap altında bir raporu çalıştırma izinleri sunar yükseltilmiş olan kendi SQL Server bir güvenlik tehdidi kötü amaçlı bir rapor sorgusu içeriyorsa Transact-SQLifadeler (örneğin, yetkisiz oturum açma oluşturmak, değiştirmek veya veri silme veya hatalı veri tanıtmak ifadeleri) ve raporu çalıştırma izni de verileri barındıran sunucuda yükseltilmiş olan bir kullanıcı tarafından kaynak. Bir saldırganın kötü amaçlı bir sorgu içeren bir rapor yayımlar, aşağıdaki koşullardan biri varsa, sorgunun yönetici kimlik bilgileri altında işlenir:

  • Rapor verilerini kaynak tümleşik güvenlik ve rapora bir yönetici olarak oturum açan kullanıcının çalışan kullanmak üzere yapılandırıldı.

  • Rapor verilerini kaynak kimlik bilgilerini ve kullanıcı türleri için bu raporu çalıştırmak için kendi yönetici kimlik bilgilerini isteyecek biçimde yapılandırılmıştır.

Bir ayrýcalýk yükselmesine saldırısı Azaltıcı en iyi yöntemler

Bu tehdide etkisini azaltmak için , bu önerilen güvenlik yöntemleri birini veya birkaçını uygulayın:

  • Bir raporu için veri sağlayan bir dış veri kaynaklarına erişmek için en az ayrıcalık hesaplarını kullanın.Rapor her zaman en az ayrıcalık hesabın depolanan kimlik bilgileri bilgilerini kullanmak için veri kaynakları için yapılandırabilirsiniz.

  • Kullanım verileri belirtmek için veri kaynak s paylaşılan kaynak bağlantı bilgileri.Paylaşılan veriler rol atamalarını kullanabilirsiniz kaynak denetim erişimi bağlantı dizesini ve kimlik bilgileri bilgilerini çalışma zamanında nasıl edinildiğini tanımlayan ayarlar.

  • Yalnızca güvenilir raporlar için yayımlanmış emin olmak için rol atamalarını ve iş akışı işlemlerini kullanan bir rapor sunucusu.Rol atamalarını, raporu yayına belirli klasörler kısıtlayın ve sonra son bir konuma taşımadan önce yeni yayımlanan rapor RDL dosyasını (ve sorgu) denetlemek, yöneticiler gerektirir.Dikkat Reporting Services Kuruluşunuz için tanımladığınız standart işletim yordamlar zorlamak için bir yol sağlamaz. Yayın için önce bir inceleme gereksinimi zorlamak üzere yok bir işlev yoktur.

  • Tümleşik güvenlik olarak bir rapor verilerini devre dışı kaynak seçeneği kimlik bilgisi.Verilerin tümleşik güvenliği Kullan kaynak bağlantıları kapatmak için küme EnableIntegratedSecurity yanlış.Management Studio'da sunucu Özellikleri sayfasındaki bu özelliğin ayarlanması hakkında daha fazla bilgi için bkz: Nasıl Yapılır: rapor sunucusu Properties (Management Studio'yu) ayarlayın..

Dış veri kaynak s erişmek için tümleşik güvenlik kullanımını, güvenlik belirteci için bir dış veri Geçirilmekte olan bilmiyor olabilirsiniz rapor kullanıcılar için özel bir sorun oluşturur kaynak (kullanıcılar raporu tümleşik güvenliği kullanmak için yapılandırılmış bir rapor çalıştıran önceden uyarılırsınız değil).Buna ek olarak, kullanıcılar aynı ilgili olduğu, bilinmeyen bir e-posta eki açılıyor, yaptıkları gibi bir rapor açma hakkında sahip olmayabilirsiniz kaynak.Ancak, güvenlik risklerini iki senaryolarda aynıdır.Kötü amaçlı bir sorgu zarar veya bir sunucu, bir köprü açılan veya e-posta eki gizlenmiş kötü amaçlı komut dosyası zarar verebilecek veya bir iş istasyonu tehlikeye ayný þekilde tehlikeye.

Tümleşik güvenliği devre dışı bırakırsanız, tüm veri rapor Not kaynak tümleşik güvenliği kullanmak için şu anda yapılandırılmış (veya daha sonra bu özelliği devre dışı bırakıldıktan sonra tümleşik güvenliği kullanmak için yapılandırılmış) artık çalışmaz.Tümleşik güvenlik desteklenmez, aşağıdaki hata döndürülür, rapor sunucusu: "Bu veri kaynağı, Windows tümleşik güvenliği kullanmak üzere yapılandırılmış ancak bu sunucu için Windows tümleşik güvenliği devre dışı bırakılır."