• Makale

Raporları ve kaynakları güvenli hale getirme

Yapabilirsiniz küme bağımsız raporlar ve kullanıcıların bu maddelere sahip erişim düzeyini denetlemek için kaynaklar için güvenlik.Varsayılan olarak, yalnızca üye olan kullanıcılar, Yöneticiler yerleşik Grup raporları çalıştırın, kaynakları görüntülemek, özelliklerini değiştirmek ve öğeleri silin.Diğer tüm kullanıcıların kendileri için oluşturulan bir raporu erişim izni rol atamaları olmalıdır veya kaynak.

Rol tabanlı erişim raporları ve kaynakları

Raporları ve kaynaklara erişim vermek için kullanıcıların varolan rol atamalarını üst klasörden devralırlar veya öğe üzerinde yeni bir rol ataması oluşturmak izin verebilirsiniz.

Çoğu durumda, büyük olasılıkla bir üst klasörden devralınan izinleri kullanmak istediğiniz.Bağımsız raporlar ve kaynaklar üzerinde güvenlik ayarı yalnızca olması gereken raporu veya kaynak raporu veya kaynak olduğunu bilmesi ya da artırmak için gereken kullanıcıların gizlemek isterseniz, gerekli düzey erişim için bir rapor veya öğeyi.Bu amaçlara birbirinden bağımsızdır.Daha küçük bir kullanıcı küme için bir rapor erişimi kısıtlamak ve tümünü veya bazılarını rapor yönetmek için ek ayrıcalıklar sağlar.

Hedeflerinizi elde etmek için birden fazla rol atamaları oluşturmanız gerekebilir.Örneğin, Ann ve Arjantin'deki, iki kullanıcı ve kaynak yöneticileri İnsan grubu için erişilebilir duruma getirmek istediğiniz bir rapor olduğunu varsayalım.ANN ve Arjantin'deki rapor yönetebilmek gerekir, ancak İnsan kaynak yöneticileri üyeleri yalnızca çalıştırmak gerekir.Tüm bu kullanıcıların uyması için üç ayrı rol atamaları oluşturursunuz: bir İnsan kaynak yöneticileri grubu için salt görüntüleme görevleri desteklemek için bir rapor, bir raporun bir içerik yöneticisi Arjantin'deki yapmak ve bir içerik yöneticisi Ann yapmak.

Bir kez, küme güvenlik raporu veya kaynak, bu kümetings öğe yeni bir konuma taşımak bile, öğe ile kalır.Örneğin, yalnızca birkaç kişiye yetkili bir rapor taşırsanız erişmek için rapor bile oldukça açık güvenlik ilkesi olan bir klasöre taşımak için yalnızca bu kullanıcıların kullanılabilir olmaya devam eder.

Yayımlanan rapor ya da belgeyi Azaltıcı html ekleme saldırıları

De Reporting Services, kimin çalıştıran kullanıcı güvenlik kimliği altında raporları ve kaynakları işlenirrapor. Raporundaki ifadeler, komut dosyası, özel rapor öğeleri veya özel derlemeler, kod kullanıcının kimlik bilgileri altında çalışır.Yoksa bir kaynak kodu içeren bir html belgesi olması komut dosyası, belge rapor sunucusundaki kullanıcı oturum açtığında çalışır.Komut dosyası veya kod içinde bir raporu çalıştırma yeteneği belirli bir ile gelen güçlü bir özellik olduğu düzey risk.Kötü amaçlı kod, rapor sunucusu ve rapor çalıştıran kullanıcının gerçekleştirilen saldırılara karşı korumasız kalır.

Raporları ve html olarak işlenen kaynaklara erişim izni verme, rapor tam güvende işlenir ve bu kötü amaçlı komut dosyası gönderilebilir unutmamak gerekir istemci.Tarayıcı ayarlarına bağlı olarak, istemci HTML'ye yürütme düzey tarayıcı içinde belirtilen güven.

Aşağıdaki önlemleri alarak kötü amaçlı komut dosyası çalıştırma riskini azaltmak:

  • Kim bir rapor sunucusu içerik yayınlayabilirsiniz karar verirken seçici olun.Olası kötü amaçlı içerik yayımlama için var olduğundan, kullanıcılar içeriği için az sayıda güvenilen kullanıcılara yayımlayabilirsiniz sınırlamanız gerekir.

  • Tüm yayımcılar raporları ve bilinmeyen veya güvenilmeyen kaynaklardan gelen Kaynakları yayımlama kaçınmanız gerekir.Gerekirse, dosyayı bir metin düzenleyicisinde açın ve şüpheli bir komut dosyası ve URL'leri arayın.

Rapor parametrelerini ve komut dosyası ekleme

Rapor parametrelerini genel rapor tasarımı ve yürütme için esneklik sağlar.Ancak, bu aynı esneklik bazı durumlarda saldırıları luring bulunan bir saldırgan tarafından kullanılabilir.Farkında olmadan kötü niyetli komut dosyalarını çalıştırma riskini azaltmak için yalnızca açık raporları güvenilir kaynaklardan işlenmiş.Olası bir oluşturucu html komut dosyası ekleme saldırısı olan aşağıdaki senaryoyu düşünün önerilir:

  1. Bir rapor köprü eylem kötü niyetli metnin bulunduğu bir parametre değeri için küme bir metin kutusu içerir.

  2. Rapor için yayımlanan bir rapor sunucusu veya Aksi durumda rapor parametre değeri bir web sayfasının URL'sini denetlenebilir biçimde kullanılabilir.

  3. Bir saldırgan web sayfa veya formda parametre değeri belirterek rapor sunucusu bir bağlantı oluşturur "javascript:<Buraya kötü amaçlı komut dosyası>"" ve luring bir saldırıda bir başkası bağlantı gönderir.

Yayımlanmış bir rapor veya belge bir köprü olarak komut dosyası Sızdırma Azaltıcı saldırıları

Raporları değerinin katıştırılmış köprüler içerebilir Action özellik bir rapor öğesi veya rapor öğesi bir parçası.Köprüler bağlı bir dış veri kaynağından alınan verileri kaynak ne zaman rapor işlenir.Kötü niyetli bir kullanıcının temel verileri değiştirir, köprü açıklarını komut dosyası kullanan kullanan kullanan dosyası için risk olabilir.Bir kullanıcı yayımlanmış veya verilen rapordaki bağlantıyı tıklatırsa, kötü amaçlı komut dosyası çalıştırabilir.

İstemeden kötü amaçlı komut dosyaları çalıştırmak rapor bağlantılar da dahil olmak üzere, riski ortadan kaldırmak için yalnızca köprüler için veri güvenilen kaynaklardan bağlayın.Köprüler için veri bağlama deyimleri yararlanılabilir bağlantılar oluşturun ve sorgu sonuçlar sayfalarındaki verileri doğrulayın.Örneğin, bir köprü dataset birden çok alandan alınan verileri birleştirir bir ifade üzerinde temel değil.Gerekiyorsa, raporu göz atın ve "Kaynağı görüntüle" kullanın Şüpheli kodlar ve URL'ler için denetlemek için.

Parametreli bir rapor halinde sql Injection Azaltıcı saldırıları

Bir parametre türü içeren raporda String, emin olun bir kullanılabilir değerler listesi (geçerli değerler listesi olarak da bilinir) kullanın ve raporu çalıştıran kullanıcı yalnızca izinleri verileri görüntülemek için gerekli olduğundan emin olmakrapor. Bir parametre türü tanımlamak ne zaman String, kullanıcıya bir metin kutusuyla, gerçekleştirebileceğiniz bir değer.Kullanılabilir değerler listesi, girilebilen değerleri sınırlar.Rapor parametresi sorgu parametresine bağlı ise ve kullanılabilir değerler listesi kullanmıyorsanız, bir rapor kullanıcısının metin kutusuna SQL söz dizimi yazarak raporu ve sunucunuzu SQL saldırısına açık hale getirme olasılığı vardır.Kullanıcı yeni SQL deyimini çalıştırmak için yeterli izne sahipse, sunucuda istenmeyen sonuçlara yol açabilir.

Sorgu parametresi bir rapor parametre bağlıdır ve parametre değerlerini rapora dahil edileceğini, parametre değeri ifade sözdizimi veya url yazın ve Excel veya html biçimine rapor işlemek bir rapor kullanıcı için mümkündür.Ardından başka bir kullanıcı raporu görüntüler ve işlenen parametre içeriklerini tıklatırsa, kullanıcı istemeden zararlı komut dosyasını veya bağlantıyı çalıştırabilir.

Yanlışlıkla zararlı komut dosyası çalıştırma riskini azaltmak için, yalnızca güvenilir kaynaklardan işlenen raporları açın.

Not

Örnek olarak dinamik bir sorgu oluşturma belgelerine önceki sürümlerinde bir ifade bulunmaktaydı.Bu tür sorgu, sql ekleme saldırıları için bir güvenlik açığı oluşturur ve bu nedenle önerilmez.

Gizli raporları güvenliğini sağlama

Gizli bilgiler içeren raporlar güvenli veri erişim düzeyinde erişim için kimlik bilgileri sağlamak kullanıcıların isteyerek gizli veri.Daha fazla bilgi için bkz: Kimlik bilgisi ve raporu veri kaynakları (ssrs) için bağlantı bilgilerini belirtme.Ayrıca erişilemez yetkisiz kullanıcıların yapmak için bir klasör güvenliğini sağlayabilirsiniz.Daha fazla bilgi için bkz: Klasörlerin güvenliğini sağlama.