Efeitos de segurança de conceder acesso de convidado a um banco de dados

1

Estou fazendo uma comparação do meu servidor de desenvolvimento com a produção e descubro que um tem isso:

EXEC sp_grantdbaccess N'guest'

Como alguém tiraria proveito do usuário convidado em uma string de conexão? Não parece ser mapeado para um logon. Nos pubs, vejo que o convidado é um membro do público. O convidado não parece ser deletável.

Isso é algum tipo de conta de acesso anônimo ou o quê? Se isso é um problema de segurança, o que faço para corrigir isso?

    
por MatthewMartin 19.05.2009 / 00:10

2 respostas

4

Se um login no SQL Server não tiver outra maneira em um banco de dados, o usuário convidado permitirá esse acesso. Você deve primeiro ter um login válido no SQL Server. Seja qual for a permissão concedida ao convidado, esse login terá os direitos para fazer. Há algumas coisas para analisar:

  • Quais permissões o convidado tem?
  • Quais permissões a função pública tem (todos os usuários, incluindo guest, são membros dessa função)?
  • De quais funções o convidado é membro e quais permissões essas funções têm?

O conselho geral não é habilitar o usuário convidado. Se um login deve ter acesso a um banco de dados, é melhor conceder acesso explícito. Isso facilita a auditoria. Com isto dito, você notará que os bancos de dados do sistema master e msdb têm o usuário convidado ativado se você der uma olhada. Este é um requisito.

    
por 19.05.2009 / 00:31
1

Mais do que a exclusão de dados ou outras atividades maliciosas, a primeira coisa que vem à mente é a acessibilidade de seus dados por usuários não autorizados. Para alguns invasores, às vezes não é sobre o que você pode destruir, mas o que você pode copiar em seu (s) sistema (s). Se eles puderem replicar qualquer dado sensível que você tenha, então não importa se eles tentarem voltar - afinal, eles têm sua própria cópia! O cavalo estará praticamente fora da porta do celeiro nesse caso, e selar a brecha após o fato só interrompe outras tentativas, não a replicação de dados já obtidos.

    
por 19.05.2009 / 00:25