Udostępnij za pośrednictwem

  • Artykuł

Securing DTS Packages Stored in SQL Server

For packages that were created in Microsoft SQL Server 2000 Data Transformation Services (DTS) and that are stored in the msdb database, there is a potential security issue.Ten problem polega na wykonywanie typowych zadań dla tych pakietów DTS procedury składowane w systemie.(procedura przechowywana sp_enum_dtspackages, która wyświetla listę pakietów DTS, które są przechowywane w bazie danych msdb jest przykładowa systemowa procedura składowana, która wykonuje wspólne zadania.Innym przykładem jest sp_get_dtspackage systemowa procedura składowana, ładuje pakiecie DTS do aplikacji klient). SQL Server 2000 Enterprise Manager SQL Server Management Studiooraz DTS API wszystkich wykonywanie typowych zadań za pomocą tych procedur przechowywanych.

Jak najszybciej zapoznać potencjalny problem z zabezpieczeniami, który jest skojarzony z DTS procedury składowane w systemie, wtedy można podjąć odpowiednie działania w celu zmniejszenia tego potencjalnie.

Important noteImportant Note:

Usług transformacja danych (DTS) została zaniechana.Aby uzyskać więcej informacji zobaczData Transformation Services (DTS).

Opis potencjalny problem z zabezpieczeniami

W wersjach SQL Server ealier niż SQL Server 2008, wykonać na niektórych DTS procedury składowane w systemie jest przyznawane publicznego. Za pomocą tej opcji, każdy, kto może logować się do bazy danych msdb może wykonywać następujące zadania:

  • Uzyskaj listę pakietów DTS.

  • Pobrać pakiety sami.

  • Zapisz nowe pakiety.

Tylko właściciel pakietu można jednak zmodyfikować istniejący pakiet, zapisując nową wersja pakietu lub usunąć istniejący pakiet.(DTS modyfikuje pakiet przez zapisanie nowej wersja pakietu.DTS nie zastąpi bieżącej wersja pakiet.)

Potencjalny problem z zabezpieczeniami występuje, gdy łączy się z aplikacji SQL Server za pomocą identyfikatora logowania, który jest właścicielem pakiety DTS. W tym scenariuszu istnieje ryzyko, że na atak iniekcji SQL może zmodyfikować lub usunąć istniejące pakiety.

Wpływ DTS procedury składowane w systemie

Na poniższej liście identyfikuje DTS procedury składowane w systemie, których wykonać prawo przysługuje publicznego i który może być przyczyną potencjalnego problemu zabezpieczeń:

  • sp_add_dtspackage

  • sp_drop_dtspackage

  • sp_dump_dtslog_all

  • sp_dump_dtspackagelog

  • sp_dump_dtssteplog

  • sp_dump_dtstasklog

  • sp_enum_dtspackagelog

  • sp_enum_dtspackages

  • sp_enum_dtssteplog

  • sp_enum_dtstasklog

  • sp_get_dtspackage

  • sp_get_dtsversion

  • sp_log_dtspackage_begin

  • sp_log_dtspackage_end

  • sp_log_dtsstep_begin

  • sp_log_dtsstep_end

  • sp_log_dtstask

  • sp_make_dtspackagename

  • sp_reassign_dtspackageowner

DTS procedury składowane w systemie, czy nie dotyczy

Na poniższej liście identyfikuje DTS procedury składowane w systemie, których wykonać po prawej nie jest przyznawane publicznego:

  • sp_add_dtscategory

  • sp_drop_dtscategory

  • sp_enum_dtscategories

  • sp_modify_dtscategory

  • sp_reassign_dtspackagecategory

Chociaż te procedury składowane w systemie mają "dts" w swoim imieniu, procedury te nie stanowią potencjalny problem z zabezpieczeniami, który opisano w tym temacie.

Zmniejszanie potencjalny problem z zabezpieczeniami

Aby zwiększyć bezpieczeństwo pakietów DTS SQL Server 2008 uległa zmianie ustawień domyślnych w następujących okolicznościach:

  • Nowa instalacja.Podczas wykonywania nowej instalacji SQL Server 2008, wykonać na DTS procedury składowane w systemie odwołaniu do publicznego. Uprawnienia do zarządzania i uruchamiania pakiety DTS znajdują się tylko z i do następnej Integration Services role bazy danych poziom:

    • db_ssisadmin

    • db_ssisltduser

    • db_ssisoperator

    Jeśli później importować pakiety DTS do bazy danych msdb w tym wystąpieniu programu SQL Server 2008, tylko te konta, które należą do nich Integration Services role będą mogli zarządzać i pomyślnie uruchomić pakiety DTS.

  • Uaktualnienie.Po uaktualnieniu wcześniejszej wersja programu SQL Server Aby SQL Server 2008, wykonać bezpośrednio w systemie DTS procedur przechowywanych nie został odwołany dla publicznego. Pozwala to zachować zgodność z istniejącymi aplikacjami.Uaktualnienie także przyznaje uprawnienia wykonywania na trzy Integration Services role poziom bazy danych, które są wymienione we wcześniejszej części tego tematu. Jak najszybciej administrator systemu należy uruchomić procedura przechowywana, którą opisano w następnej sekcji, aby odebrać wykonać bezpośrednio z publicznego.

Aby uzyskać informacje dotyczące Integration Services role, zobacz Using Integration Services Roles.

Za pomocą sp_dts_secure nowa procedura przechowywana

SQL Server 2008 obejmuje nowe systemowa procedura składowana, sp_dts_secure podczas zarządzania zabezpieczeniami pakietów DTS.Procedura ta ma jedną wymaganego parametru wejściowego.Ten parametr odwołuje lub udziela publicznych wykonać pocedures przechowywane uprawnienia w systemie DTS:

  • Odwołaj uprawnienia wykonywania publicznych i zezwolić na dostęp tylko do i za pośrednictwem Integration Services role poziom bazy danych, uruchomić procedurę sp_dts_secure z parametrem 1:

    sp_dts_secure 1

    Aby ograniczyć dostęp do DTS przechowywane procedury dla autoryzowanych użytkowników, uruchomić tę procedurę, po uaktualnienia i zastosować Integration Services role poziom bazy danych.

    Uwaga

    Podczas wykonywania nowej instalacji SQL Server 2008Instalator wykonuje dwie akcje na procedury składowane w systemie DTS. Instalator najpierw odwołuje wykonać prawo do publicznego.Następnie Instalator udziela praw wykonać do Integration Services role poziom bazy danych, które są wymienione we wcześniejszej części tego tematu. Jednak podczas ręcznego uruchamiania sp_dts_secure 1, to procedura przechowywana tylko odwołuje wykonać bezpośrednio w systemie DTS procedur przechowywanych dla publicznego.Konieczne jest zastosowanie Integration Services Baza danych — poziom role oddzielnie.

  • Przyznać publicznych wykonać uprawnienia DTS procedura przechowywana, uruchomić procedurę sp_dts_secure z parametrem, zestaw na 0:

    sp_dts_secure 0

    Tej procedury można użyć w nowych scenariuszy instalacji, jeśli zachodzi potrzeba zachowania zgodności z istniejącymi aplikacjami, w czasie, gdy konieczne jest przygotowanie do ponownego włączenia ograniczeń zabezpieczeń.

Integration Services icon (small) Konfiguracja w aktualizacji z usług integracja Services pobytu

Najnowsze pliki do pobrania, artykuły, próbki, i pliki wideo firmy Microsoft, jak również wybranego rozwiązania od Wspólnoty, odwiedź witrynę Integration Services strona w witrynie MSDN lub TechNet:

Automatycznego powiadomienie tych aktualizacji należy subskrybować źródła danych RSS, które jest dostępne strona.