Политика Sql 2008 «Общественное разрешение сервера не предоставлено»
https://stackoverflow.com/questions/707244
-
22-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Недавно я начал изучать новое управление политиками в SQL Server 2008, и когда я проверил соответствие политике «Публичное не предоставленное разрешение сервера», мой сервер не прошел проверку.Причина заключалась в том, и я почти уверен, что это значение по умолчанию, у public есть разрешение TCP Endpoint, чтобы пользователи могли подключаться к серверу.Если бы я удалил это, мне пришлось бы назначать пользователям индивидуальное право на подключение.
Мне это кажется глупым.Я не могу понять, почему Microsoft рекомендует изменить это.У меня нет гостевой учетной записи, поэтому доступ к серверу могут получить только определенные пользователи.Сервер находится за брандмауэром, и доступ к нему может иметь только одна подсеть в компании.Есть ли у кого-нибудь какое-либо представление об этом?
Решение
Лучшие методы обеспечения безопасности начинаются с блокировки ВСЕГО, а затем открываются только те части, которые необходимы тем людям, которым действительно нужно к ним получить доступ.
Разрешив «публичному» доступу даже подключиться, несмотря на то, что у них нет прав ни на что, дверь приоткрывается.Иногда этого достаточно, чтобы использовать переполнение буфера или другой тип атаки.
ОБНОВЛЯТЬ
Логин и Пользователь — это две разные вещи.Логин — это уровень сервера, Пользователь — специфичная для базы данных.Каждый Пользователь должен иметь соответствующий логин;но не каждый логин будет иметь учетную запись пользователя базы данных.
Допустим, вы используете интегрированную безопасность Active Directory;и вы назначили определенную группу AD для доступа к серверу.Теперь только некоторые из членов группы могут иметь доступ к определенным базам данных.Это люди, которым вы хотите предоставить доступ для подключения.В то время как другие члены группы не имеют обычных учетных записей пользователей базы данных.
По определению это проблема, поскольку некоторые члены группы могут подключаться и просматривать базы данных на сервере, даже если у них нет доступа ни к одной из этих баз данных.Я говорю об этой «щели» в двери.
Если вы можете помешать этим людям даже подключиться, то вы проделали большой путь к обеспечению безопасности своего сервера.
Существуют и другие разрешения уровня сервера, которые роль Public предоставляет входам в систему.Если возможно, вам следует отключить его так же, как и гостевую учетную запись.
