Проблемы безопасности с пользователями, созданными для сценариев R в SQL Server

326
Talset

Как обсуждалось в этом вопросе и в этом сообщении на форуме MSDN, установка R с установкой Microsoft SQL Server 2017 (возможно, других версий) создает 20 пользователей в группе SQLRUserGroup. Как объяснено в ссылках, все эти учетные записи пользователей созданы специально для обеспечения возможности выполнения нескольких R-сценариев.

Тем не менее, я не могу найти соответствующую информацию о безопасности, когда речь заходит об этих учетных записях. Добавление 20 логинов звучит как способ увеличить поверхность атаки моей системы для взломщика.

Проблемы: каковы последствия безопасности для этих пользователей на моем компьютере? Создает ли это дыру в безопасности, если кто-то знает, как пароли для этих пользователей генерируются / хранятся (или если пароли просто слабые с самого начала)?

1
Вы можете получить лучший ответ на сайте security.stackexchange ... Darius 6 лет назад 1
Если злоумышленник имеет физический доступ к вашей машине, все ставки отключены. Вы должны убедиться, что SQLRUserGroup имеет только разрешения, необходимые пользователю для запуска сценария. Ramhound 6 лет назад 0
Спасибо за ответы. Я согласен с абсолютной точки зрения, что все ставки отменены после физического доступа, но я не думаю, что это отменяет любые попытки смягчения. Кроме того, это не обязательно о физическом доступе. Возможно, кто-то разрешил настройку удаленного доступа (например, RDP) и не знает, что эти учетные записи могут быть уязвимы. Закаливание всегда хорошо. Если SuperUser был неподходящим местом для этого и не дает ответов, я с радостью перенесу его в Security, но я подумал, что это будет что-то более суперпользовательское, потому что речь идет об услугах, предоставляемых SQL Server. Talset 6 лет назад 0
Почему вы разрешаете этим пользователям удаленный доступ к вашей системе? Им не нужно это разрешение. Если вас беспокоят проблемы безопасности, связанные с доступом к RDP, если вам это не нужно, отключите его полностью. Ramhound 6 лет назад 0
100% согласны, что было бы идеально. Talset 6 лет назад 0
(Истекло время редактирования) Чтобы уточнить, речь идет не только о _me_, а об уменьшении доступа (увеличение усилий, необходимых для компрометации чего-либо, например, запирания двери, несмотря на существующие слесари), для тех, кто может установить этих пользователей без зная возможные последствия (возможно, другие компьютеры не так уж защищены, как мой, поэтому следует добавить важные замечания или меры по смягчению последствий для всех, кто решит установить этих пользователей). Talset 6 лет назад 0
@ Talset Если вы хотите смягчить уязвимости безопасности, ограничьте поверхность атаки, отключив все функции, функции, службы и т. Д., Которые не нужны на компьютере, о котором вы беспокоитесь по поводу безопасности. Поэтому в этом случае, если SQL Server очень важен и критичен для вашего бизнеса и т. Д., Просто установите его на свою собственную выделенную ОС и разрешите доступ к нему только по сценариям (какими бы они ни были) и не устанавливайте другие компоненты на него. та же ОС, что и SQL Server. Это стандартная практика 101 с точки зрения безопасности. Pimp Juice IT 6 лет назад 0
Поэтому RDP, R-сценарии и т. Д. На SQL Server не очень хорошая идея, если у вас есть проблемы с безопасностью этого SQL Server, и это важно для вашей среды. Разрешите своим администраторам доступ к физическому серверу даже удаленно через RDP, а всем остальным и всем другим процессам, сценариям и т. Д. - только удаленный доступ без доступа на уровне ОС. По возможности также используйте хранимые процедуры и выполняйте SP, если вы хотите, чтобы сервер выполнял тяжелую обработку. Есть много способов снять шкуру с кошки, в том числе, когда вы хотите быть в безопасности. Pimp Juice IT 6 лет назад 0

0 ответов на вопрос

Похожие вопросы