swa*_*eck 8 security sql-server
我最近发现大部分财务部门正在使用 Excel 连接到我的 SQL Server 2000 实例,并使用 sysadmin 角色的帐户。我目前应该立即向权力机构传达哪些风险?
几乎所有的东西。
我会从他们潜在的使用能力开始xp_cmdshell(sp_configure如果他们不能,那么他们可以......以及返回的帐户xp_cmdshell 'whoami.exe'可以做什么......),然后转移到他们的能力做drop database.
进一步的风险不仅包括财务用户能够执行这些操作,还包括财务机器上的任何程序都可以访问您的系统管理员连接凭据......
(其他潜在风险包括发现其中一个 TPTB 以这种方式设置的风险)
财务人员应该了解的一件事是,通过将系统用户授予 Excel,您绕过了数据库或应用程序中内置的所有内部控制。一个称职的审计员会为此剔除它们的内脏。因此,例如,如果您建立了控制措施以确保两个不同的人必须批准一项费用(以避免潜在的欺诈),那么通过这种方式连接 Excel 电子表格,您已经完全取消了对数据的这种控制。
如果恶意用户破坏了您的数据,您可以从备份中恢复——您应该能够计算出这种情况下对业务的影响。
更糟糕的是,您的系统不再具有完整性。如果用户以非灾难性的方式操作数据,在备份不再可用之前,您可能不会发现损坏。考虑企业无法信任该服务器上存储的任何数据的有效性的影响。
| 归档时间: |
|
| 查看次数: |
2061 次 |
| 最近记录: |