Sky*_*Sky 6 security sql-server sql-server-2008-r2 xp-cmdshell
使用xp_cmdshell可能会很有帮助,有时可能是某些场景的唯一答案。我在互联网上阅读了一些帖子,认为启用xp_cmdshell可能会危及数据库/服务器的安全性。
我的问题是,我们能做些什么来降低风险吗?例如,我们是否可以设置一些限制/应用用户角色等,以提供降低风险的保障措施?
谢谢。
嗯,你可以不授予其明确执行到最终用户(否认它甚至),只有使其在存储过程使用的一些登录该EXECUTE AS确实有执行权限。然后仅向需要运行该命令的用户授予对该存储过程的执行权限。
首先,确保xp_cmdshell为实例启用:
EXEC sp_configure 'show advanced options', 1;
GO
RECONFIGURE WITH OVERRIDE;
GO
EXEC sp_configure 'xp_cmdshell', 1;
GO
RECONFIGURE WITH OVERRIDE;
GO
EXEC sp_configure 'show advanced options', 0;
GO
RECONFIGURE WITH OVERRIDE;
现在,根据操作系统和 SQL Server 服务帐户,您可能需要设置代理帐户(为此,感谢 UAC,您可能需要提升并以管理员身份启动 SSMS):
EXEC master..sp_xp_cmdshell_proxy_account 'Domain\User', 'Password';
然后在您的数据库中创建一个包装器,它可以执行您需要的任何操作(这只是一个非常通用的包装器的示例,它并不能真正保护您免受任何伤害;仅使用它来演示):
USE yourdb;
GO
CREATE PROCEDURE dbo.uxp_cmdshell
@cmd VARCHAR(2048)
WITH EXECUTE AS OWNER
AS
BEGIN
EXEC master.dbo.xp_cmdshell @cmd;
END
GO
现在授予您的用户或角色权限以执行该过程:
GRANT EXECUTE ON dbo.uxp_cmdshell TO [your_user_or_role!];
现在,当your_user登录并尝试执行对xp_cmdshell:
EXEC master.dbo.xp_cmdshell 'dir c:\';
他们将获得:
消息 229,级别 14,状态 5,过程 xp_cmdshell,第 1 行
对象“xp_cmdshell”、数据库“mssqlsystemresource”、架构“sys”的 EXECUTE 权限被拒绝。
但是,如果他们将相同的命令传递给您的新程序:
EXEC dbo.uxp_cmdshell 'dir c:\';
它会正常工作(假设您的代理帐户设置正确和/或 SQL Server 服务帐户具有足够的权限)。
这可能需要一些工作,但实际上这允许您准确控制用户可以使用xp_cmdshell.
您还可以使用sp_xp_cmdshell_proxy_account设置代理帐户,以允许非管理员使用 xp_cmdshell。这将允许您设置特权较低的 Windows 帐户,而不是始终使用 SQL Server 服务帐户的 xp_cmdshell。这类似于为 SQL 代理作业设置代理帐户。