Ich habe gerade einen Computer entdeckt, der vertrauliche Daten von MS SQL Server bereitstellt und scheinbar über praktisch keinen Sicherheitsschutz verfügt. Ich möchte diese Box so schnell wie möglich schützen.
Mein Problem ist, dass ich ein Linux-Administrator bin und keine Erfahrung mit Microsoft-Datenbanken habe und in einem Remote-Büro ohne IT-Personal aushelfe. (Außerdem ist die Installation auf Spanisch, also verzeihen Sie mir bitte, wenn ich irgendwelche Namen verstümmele.)
Also habe ich ein Programm namens SQL Server Enterprise Manager gefunden (im Infodialog steht keine Versionsnummer, aber das Copyright in den Hilfedateien lautet „1988-2000“), mit dem ich alle Daten lesen, Konten erstellen und Passwörter aller vorhandenen Konten ändern kann. Es fragt mich nicht nach einem Passwort.
Wie kann ich diese klaffende Sicherheitslücke schließen?
Deutet diese Situation auf die Existenz anderer Schwachstellen hin, auf die ich achten sollte?
Antwort1
Sie können die Windows-Authentifizierung an den Server weitergeben – und wenn Sie ein Domänenadministrator/Computeradministrator sind, können Sie auf jede 2000-Installation und die meisten 2005-Installationen zugreifen.
Nachdem Sie herausgefunden haben, wie Sie eine Verbindung herstellen, sollten Sie eine Sicherheitsüberprüfung durchführen und zuerst die Sicherheitsrollen des Servers überprüfen, um festzustellen, wer als Systemadministrator aufgeführt ist. Dies sollte unter dem Sicherheitsknoten unter der Datenbankinstanz und nicht unter einzelnen Datenbanken stehen. Ich beziehe mich auf die Baumstrukturhierarchie in EM.
Dann können Sie bei Bedarf in die Datenbanken eintauchen, um Berechtigungen zu sperren und alles sicher und stabil zu machen. Möglicherweise möchten Sie auch das SA-Passwort ändern, das eine „Hintertür“ für den SQL-Login darstellt, mit dem Sie sich anmelden können, wenn Sie ausgesperrt sind.
http://technet.microsoft.com/en-us/library/cc966456.aspx
Ich würde auch versuchen, den Best Practices-Analyzer auszuführen.
Antwort2
Besteht das Problem darin, dass dieser Computer tatsächlich aktiv auf Daten auf Ihrem SQL-Server zugreift und diese nutzt, oder liegt es daran, dass Sie scheinbar ohne Einschränkung auf den SQL-Server zugreifen können ... denn das sind zwei völlig verschiedene Dinge. Außerdem wären einige Details hilfreich, z. B. welche Version und Edition von SQL Server Sie verwenden.
SQL Server Enterprise Manager wird zum Verwalten von SQL 2000 und früheren Versionen verwendet. SQL Server Management Studio wird zum Verwalten von SQL 2005 und späteren Versionen verwendet.
Antwort3
Wenn Sie den SQL Server Enterprise Manager nicht entfernen können, können Sie die SQL Server-Registrierung entfernen oder bei der Server-Registrierung das Kontrollkästchen „Immer nach Benutzername und Kennwort fragen“ aktivieren.
Überprüfen Sie auch das SA-Passwort (Root-Passwort) für den SQL Server, denn bis SQL Server 2000 bestand die Möglichkeit, dieses Feld leer zu lassen!