Início / dba / Perguntas / 317467
Accepted
Muflix
Asked: 2022-09-28 06:11:38 +0800 CST

A opção Confiável deve ser desabilitada, mas qual é uma alternativa?

  • 772

Eu executo o relatório de avaliação de vulnerabilidade no SQL Server 2016 e recebi este problema

VA1102 O bit confiável deve ser desabilitado em todos os bancos de dados, exceto MSDB

O motivo de configurar Trustworthy para ON no meu caso é que o DB Owner do banco de dados precisa ter acesso a um banco de dados diferente para leitura de dados (especificamente o procedimento armazenado é executado como proprietário e lê os dados de outro banco de dados).

Minha pergunta é como conseguir o mesmo sem configurar confiável para o que pode expor o servidor a vulnerabilidades?

sql-server

1 respostas

  1. Best Answer

    O bit confiável deve ser desabilitado em todos os bancos de dados, exceto MSDB

    Isso é verdade.

    A razão para definir Trustworthy como ON no meu caso é que o DB Owner do banco de dados precisa ter acesso a um banco de dados diferente para leitura de dados

    Isso não é verdade.

    como conseguir o mesmo sem configurar confiável?

    Felizmente, isso é super fácil, quase um inconveniente ? graças ao Module Signing. Tudo que você precisa fazer é:

    1. Crie um certificado no banco de dados contendo o código que lê de outro banco de dados
    2. Assine o código (proc, function, trigger) que lê do outro banco de dados com o certificado
    3. Copie o certificado (sem necessidade de copiar a chave privada) para o banco de dados que está sendo lido
    4. Crie um usuário no banco de dados de leitura do certificado
    5. Conceda ao novo usuário no banco de dados de leitura quaisquer permissões necessárias

    É isso! Obviamente, isso pressupõe que você não está usando WITH EXECUTE AS ...em sua definição de proc / function / trigger, pois isso complica um pouco as coisas (e em breve abordarei isso em sua pergunta relacionada ). Mas, essa suposição deve ser boa, pois o motivo declarado para precisar dela (para ter acesso de leitura no outro banco de dados) não é um problema neste momento, pois o Module Signing cuida disso.

    Por favor, veja a demonstração abaixo, que empresta muito do seu código de reprodução postado em sua pergunta relacionada (para consistência)

    Configuração inicial

    /* -- Clean Up
USE [master];
DROP DATABASE SourceDatabase;
DROP DATABASE TargetDatabase;

DROP LOGIN SourceDatabaseOwner;
DROP LOGIN TargetDatabaseOwner;
DROP LOGIN ServiceAccount;
*/


-- Create logins
CREATE LOGIN SourceDatabaseOwner WITH PASSWORD = 'Pa$$w0rd';
CREATE LOGIN TargetDatabaseOwner WITH PASSWORD = 'Pa$$w0rd';
CREATE LOGIN ServiceAccount WITH PASSWORD = 'Pa$$w0rd';

-- Create databases
CREATE DATABASE SourceDatabase;
CREATE DATABASE TargetDatabase;

-- Do NOT Set up trustworthy

-- Setup database owners
-- ( sp_changedbowner is deprecated )
ALTER AUTHORIZATION
    ON DATABASE::[SourceDatabase]
    TO [SourceDatabaseOwner];
ALTER AUTHORIZATION
    ON DATABASE::[TargetDatabase]
    TO [TargetDatabaseOwner];


-- Add ServiceAccount to source database
USE SourceDatabase
CREATE USER ServiceAccount FOR LOGIN ServiceAccount;  
GO


-- Create table with data
USE TargetDatabase;
GO
CREATE TABLE dbo.InterestingData (
    Id INT IDENTITY PRIMARY KEY,
    Content NVARCHAR(255)
    );
INSERT INTO dbo.InterestingData (Content) VALUES ('Foo'), ('Bar');
GO

-- Create stored procedure executing as CALLER and accessing target database
USE SourceDatabase;
GO
CREATE OR ALTER PROCEDURE dbo.GetData
--with execute as 'ServiceAccount' -- Do NOT use this option
AS
BEGIN
    SELECT SESSION_USER AS [CurrentUser];
    SELECT Id, Content
    FROM TargetDatabase.dbo.InterestingData;
END;
GO
GRANT EXECUTE ON dbo.GetData TO [ServiceAccount];
GO

    Teste

    -- Execution does not work under service account
-- The server principal "ServiceAccount" is not able to access the database
--       "TargetDatabase" under the current security context.

USE [SourceDatabase];
EXECUTE AS LOGIN = N'ServiceAccount';

EXEC dbo.GetData;
GO
REVERT;
GO

    Configurar a assinatura do módulo

    USE [SourceDatabase];

-- Create certificate
CREATE CERTIFICATE [SignProcedureCert]
    ENCRYPTION BY PASSWORD = 'Pa$$w0rd'
    WITH SUBJECT = 'Certificate for signing stored procedures';
GO

-- Sign the procedure
ADD SIGNATURE TO dbo.GetData   
    BY CERTIFICATE SignProcedureCert  
    WITH PASSWORD = 'Pa$$w0rd';  
GO  

-----------------

-- Copy certificate to target DB
-- ( CERTENCODED in SQL Server 2012+ )
DECLARE @Cert NVARCHAR(4000);
SET @Cert = CONVERT(NVARCHAR(4000), CERTENCODED(CERT_ID(N'SignProcedureCert')), 1);

EXEC (N'USE [TargetDatabase];
CREATE CERTIFICATE [SignProcedureCert] FROM BINARY = ' + @Cert);

-- Create certificate-based User to allow access to DB
USE [TargetDatabase];
CREATE USER [SignProcedureCert] FROM CERTIFICATE [SignProcedureCert];

-- Allow access to target object in target DB
USE [TargetDatabase];
GRANT SELECT ON SCHEMA::dbo TO [SignProcedureCert];

    Teste novamente

    USE [SourceDatabase];
EXECUTE AS LOGIN = N'ServiceAccount';

EXEC dbo.GetData;
-- Success!!
GO
REVERT;
GO

    Para obter mais informações sobre a assinatura de módulo em geral, consulte meu site:
    https://ModuleSigning.Info/

    • 1

relate perguntas