ความเสี่ยงที่อาจเกิดขึ้นจากการที่ผู้ใช้เชื่อมต่อกับ SQL Server ผ่าน Excel ในฐานะผู้ดูแลระบบหรือไม่?

8

ฉันเพิ่งค้นพบว่าแผนกการเงินจำนวนมากกำลังใช้ Excel เพื่อเชื่อมต่อกับอินสแตนซ์ SQL Server 2000 ของฉันด้วยบัญชีผู้ใช้ในบทบาทดูแลระบบ อะไรคือความเสี่ยงในปัจจุบันของฉันที่ฉันควรสื่อสารกับพลังที่เป็นอยู่ในทันที

sql-server security

— swasheck
แหล่งที่มา

ความเป็นไปได้ที่ซ้ำกันของเหตุใดจึงเป็นวิธีปฏิบัติที่ไม่ดีที่อนุญาตให้ทุกคนใช้การเข้าสู่ระบบ sa

— Jon Seigel

1

TPTB = พลังที่เป็น

— datagod

1

@ JonSeigel ฉันจะชี้ให้เห็นว่าคำตอบของฉันมีผลบังคับใช้โดยเฉพาะเพื่อช่วยอธิบายว่าทำไมการติดต่อทางการเงินที่ไม่ดีรวมถึงปัญหาด้านความปลอดภัยทั่วไปสำหรับคำถามทั้งหมดที่คุณเชื่อมโยง

— HLGEM

ฉันจะชี้ให้เห็น (และบางทีคำถามของฉันยังไม่ชัดเจนพอเนื่องจากมีการโพสต์บน iPhone) ว่าข้อกังวลของฉันมีพื้นผิวการจัดการน้อยลงและมากขึ้นด้วย Excel และความกังวลที่อาจเกิดขึ้นกับ Excel เป็นเวกเตอร์เฉพาะ

— swasheck

9

ทุกอย่างสวยมาก

ฉันเริ่มต้นที่มีความสามารถศักยภาพของพวกเขาที่จะใช้xp_cmdshell(และsp_configureถ้าพวกเขาไม่สามารถเป็นอย่างนั้นพวกเขาสามารถ ... และสิ่งที่บัญชีที่ส่งกลับโดยxp_cmdshell 'whoami.exe'สามารถทำ .... ) drop databaseจากนั้นย้ายไปยังความสามารถของพวกเขาที่จะทำ

ความเสี่ยงเพิ่มเติมรวมถึงไม่เพียง แต่ผู้ใช้ทางการเงินที่สามารถทำสิ่งเหล่านี้ได้ แต่โปรแกรมใด ๆ บนเครื่องทางการเงินที่เข้าถึงข้อมูลประจำตัวการเชื่อมต่อดูแลระบบของคุณ ...

(ความเสี่ยงที่เป็นไปได้อื่น ๆ รวมถึงความเสี่ยงในการค้นพบว่าหนึ่งใน TPTB ตั้งค่าแบบนี้)

— podiluska
แหล่งที่มา

... หรือวางตารางหรือลบหรือตัดทอนหรือselect name, salary from employees

— Aaron Bertrand

3

หรือupdate salaries set salary = 0 where employee='swasheck''s boss'

— podiluska

5

และสิ่งเหล่านี้ล้วนเป็นสิ่งที่อาจเป็นอันตราย การให้สิทธิดูแลระบบแก่ผู้คนก็ทำให้พวกเขาได้รับสิ่งที่อาจเกิดขึ้นโดยบังเอิญ

— Aaron Bertrand

6

ช่วยให้พวกเขาสามารถทำสิ่งที่พวกเขาต้องการให้กับฐานข้อมูล พวกเขาสามารถตัดทอน / แก้ไข / วางตาราง ลบแทรกหรือแก้ไขระเบียนเฉพาะ ฉันขอแนะนำให้คุณจัดการกับปัญหานี้โดยเร็วที่สุด

— Zane
แหล่งที่มา

6

สิ่งหนึ่งที่คนการเงินควรเข้าใจก็คือการให้ผู้ใช้ระบบ Excel ทำให้คุณข้ามการควบคุมภายในทั้งหมดที่มีอยู่ในฐานข้อมูลหรือแอปพลิเคชัน ผู้สอบบัญชีที่มีความสามารถจะถอนพวกเขาสำหรับเรื่องนี้ ตัวอย่างเช่นถ้าคุณมีการควบคุมที่สร้างขึ้นเพื่อให้แน่ใจว่าคนสองคนที่แตกต่างกันจะต้องอนุมัติค่าใช้จ่าย (เพื่อหลีกเลี่ยงการฉ้อโกง) จากนั้นโดยการเชื่อมต่อสเปรดชีต Excel ด้วยวิธีนี้คุณได้ลบการควบคุมนี้ไปยังข้อมูลทั้งหมด

— HLGEM
แหล่งที่มา

5

หากผู้ใช้ที่ประสงค์ร้ายทำลายข้อมูลของคุณคุณสามารถกู้คืนจากการสำรองข้อมูลได้ - คุณควรจะสามารถคำนวณผลกระทบที่มีต่อธุรกิจสำหรับสถานการณ์นี้

สิ่งที่อาจแย่กว่านั้นคือระบบของคุณไม่มีความสมบูรณ์อีกต่อไป หากผู้ใช้จัดการกับข้อมูลในลักษณะที่ไม่เป็นหายนะคุณอาจไม่พบความเสียหายจนกว่าหลังจากการสำรองข้อมูลของคุณจะไม่มีตัวเลือกอีกต่อไป พิจารณาถึงผลกระทบของธุรกิจที่ไม่สามารถเชื่อถือได้ของข้อมูลใด ๆ ที่อยู่บนเซิร์ฟเวอร์นั้น

— SQLFox
แหล่งที่มา