SQL Server'a Excel üzerinden sysadmin olarak bağlanan kullanıcıların potansiyel riskleri?

Kısa süre önce finans departmanının büyük bir alanının SQL Server 2000 örneğime sysadmin rolündeki bir hesapla bağlanmak için Excel'i kullandığını keşfettim. Şu anki güçlerle derhal iletişim kurmam gereken mevcut risklerim nelerdir?

Hemen hemen her şey.

Potansiyel kullanma yetenekleri ile başlardım xp_cmdshell(ve sp_configureyapamazlarsa, o zaman yapabilirler ... ve geri dönen hesap ne xp_cmdshell 'whoami.exe'yapabilirse ....), sonra yapma yeteneklerine geçin drop database.

Diğer riskler arasında sadece finans kullanıcılarının bu şeyleri yapabilmeleri değil, aynı zamanda bir finans makinesindeki sistem yöneticisi bağlantı kimlik bilgilerinize erişen herhangi bir program yer alıyor ...

(Diğer potansiyel riskler arasında TPTB'den birinin bu şekilde kurulduğunu keşfetme riski bulunmaktadır)

Temelde veritabanına istedikleri her şeyi yapmalarını sağlar. Tabloları kesebilir / değiştirebilir / bırakabilirler. Belirli kayıtları silme, ekleme veya değiştirme. Bu sorunu en kısa sürede çözmenizi şiddetle tavsiye ederim.

Finansal kişilerin anlaması gereken bir şey, Excel'e sistem kullanıcısını vererek, veritabanına veya uygulamaya yerleşik her dahili kontrolü atladığınızdır. Yetkili bir denetçi bunun için onları tahliye eder. Örneğin, iki farklı kişinin bir masrafı onaylaması (olası sahtekarlığı önlemek için) sağlamak için oluşturulmuş denetimleriniz varsa, Excel elektronik tablosunu bu şekilde bağlayarak, veriler üzerinde bu denetimi tamamen kaldırdınız.

Kötü niyetli bir kullanıcı verilerinizi yok ettiyse, yedeklemeden geri yükleyebilirsiniz - bu senaryo için işletmenin etkisini hesaplayabilmeniz gerekir.

Daha da kötüsü, sisteminizin artık bütünlüğünün olmamasıdır. Bir kullanıcı verileri yıkıcı olmayan bir şekilde işlerse, yedeklemeleriniz artık kullanılabilir bir seçenek olana kadar hasarı bulamayabilirsiniz. İşletmenin, o sunucuda barındırılan herhangi bir verinin geçerliliğine güvenemediğini düşünün.