Tümleşik güvenlik ve Elevated izinler
Bir raporu bir hesap altında çalışan yükseltilmiş izinler ortaya çıkarır, SQL Server ise raporun sorguyu içeren kötü amaçlı bir güvenlik tehdidi için Transact-SQL ifadeleri (yetkisiz oturum açma oluşturmak, değiştirmek veya silmek veri veya hatalı veri tanıtmak gibi ifadeleri) ve raporu çalıştırın, verileri barındıran sunucuda izin yükseltilmiş olan bir kullanıcı tarafından kaynak.Bir saldırganın kötü amaçlı bir sorgu içeren bir rapor yayımlar, bu koşullardan biri varsa, sorgunun yönetici kimlik bilgileri altında işlenecek:
Raporu veri kaynak tümleşik güvenliği kullanmak için yapılandırılmış ve rapor çalıştıran kullanıcının yönetici olarak oturum.
Raporu veri kaynak için kimlik bilgileri bilgilerini isteyecek biçimde yapılandırılmıştır ve kullanıcı rapor çalıştırmak için kendi yönetici kimlik bilgileri bilgilerini yazar.
Azaltıcı bir ayrıcalık yükseltme saldırısı için en iyi yöntemler
Bu tehdide etkisini azaltmak için bir veya daha bu önerilen güvenlik yöntemleri izleyin:
Bir raporu için veri sağlayan bir dış veri kaynaklarına erişmek için en az ayrıcalık hesaplarını kullanır.Rapor veri kaynakları her zaman en az ayrıcalık hesabın depolanan kimlik bilgileri bilgilerini kullanmak için yapılandırabilirsiniz.
Paylaşılan veri kaynakları veri kaynak bağlantı bilgilerini belirtmek için kullanın.Rol atamaları paylaşılan veri kaynakna bağlantı dizesi ve kimlik bilgilerini çalışma zamanında nasıl alınır tanımlayan ayarları erişimi denetlemek için kullanabileceğiniz saat.
Rol atamaları ve iş akışı işlemlerini kullanmak için yalnızca güvenilir raporları yayımlanır emin olmak için bir rapor sunucusu.Rol atamaları rapor yayın belirli klasörlere kısıtlamak ve sonra yeni yayımlanan rapor rdl dosya (ve sorgu) bir son konumuna geçmeden önce incelemek Yöneticiler gerektiriyor.Dikkat Reporting Services zorunlu standart işletim yordamları, tanımladığınız organizasyon için bir yol sağlarYayın için önce bir inceleme gereksinim zorlamanıza yerinde hiçbir işlevi yoktur.
Tümleşik Güvenlik raporu veri kaynak kimlik bilgisi seçeneği olarak devre dışı bırakın.Tümleşik güvenliğini kullan veri kaynak bağlantılarını devre dışı bırakmak için küme EnableIntegratedSecurity çok yanlış.Bu özellik sunucu küme hakkında daha fazla bilgi için özellikler sayfası Management Studio'da görmek Nasıl yapılır: Rapor sunucusu özellikleri (Management Studio'yu) ayarla.
Dış verilere erişmek için tümleşik güvenlik kullanımını kaynaks oluşturur, güvenlik belirteci dış veri kaynağına aktarılan olduğunu biliyor rapor kullanıcılar için özel bir ilgi kaynak (kullanıcılar değil uyarılacaklarını rapor tümleşik güvenliği kullanmak için yapılandırılmış bir rapor çalıştıran önceden).Buna ek olarak, kullanıcıların e-posta eki bilinmeyen bir açılış, yaptıkları gibi bir rapor açma hakkında aynı endişeleri yok kaynak.Ancak, güvenlik riskleri iki durumda aynıdır.Kötü amaçlı bir sorgu, zarar veya bir sunucu bir köprü kullanıma sunulan veya bir e-posta ekinde gizli bir kötü amaçlı komut dosyası zarar veya tehlikeye bir iş istasyonu aynı şekilde tehlikeye.
Tümleşik güvenliği devre dışı bırakırsanız, tümleşik güvenliği kullanmak için yapılandırılmış (veya sonradan tümleşik güvenlik özelliğini devre dışı bırakıldıktan sonra kullanmak üzere yapılandırılan) raporu veri kaynak artık çalışacağını unutmayın.Tümleşik güvenlik üzerinde desteklenen aşağıdaki hata döndürülür, rapor sunucusu: "Bu verileri kaynak yapılandırılmış Windows tümleşik güvenliği ancak Windows tümleşik güvenliği kullanmak için bu sunucu için devre dışı bırakılır."