Início / dba / Perguntas / 34633
Accepted
Sky
Asked: 2013-02-13 14:09:59 +0800 CST

Podemos minimizar o risco de usar xp_cmdshell?

  • 772

O uso xp_cmdshellpode ser bastante útil e, às vezes, possivelmente a única resposta para alguns cenários. Li alguns posts na internet que habilitar xp_cmdshellpode comprometer a segurança do banco de dados/servidor.

Minha pergunta é: há algo que possamos fazer para reduzir o risco? Por exemplo, podemos definir algumas restrições/aplicar funções de usuários, etc., fornecendo salvaguardas para mitigar o risco?

Obrigado.

sql-server sql-server-2008-r2

2 respostas

  1. Best Answer

    Bem, você não pode conceder a execução explicitamente para usuários finais (negê-lo até mesmo) e apenas habilitá-lo em procedimentos armazenados que usam EXECUTE AS com algum login que tenha permissões de execução. Em seguida, conceda a execução apenas nesse procedimento armazenado ao usuário que precisa executar o comando.

    Primeiro, verifique se xp_cmdshellestá ativado para a instância:

    EXEC sp_configure 'show advanced options', 1;
GO
RECONFIGURE WITH OVERRIDE;
GO
EXEC sp_configure 'xp_cmdshell', 1;
GO
RECONFIGURE WITH OVERRIDE;
GO
EXEC sp_configure 'show advanced options', 0;
GO
RECONFIGURE WITH OVERRIDE;

    Agora, dependendo do sistema operacional e da conta de serviço do SQL Server, pode ser necessário configurar uma conta proxy (e para isso, graças ao UAC, pode ser necessário elevar e iniciar o SSMS como administrador ):

    EXEC master..sp_xp_cmdshell_proxy_account 'Domain\User', 'Password';

    Em seguida, crie um wrapper em seu banco de dados que faça tudo o que você precisar (este é apenas um exemplo de um wrapper MUITO genérico que realmente não o protege de nada; use-o apenas para demonstrar):

    USE yourdb;
GO
CREATE PROCEDURE dbo.uxp_cmdshell
  @cmd VARCHAR(2048)
WITH EXECUTE AS OWNER
AS
BEGIN
  EXEC master.dbo.xp_cmdshell @cmd;
END
GO

    Agora dê ao seu usuário ou função permissões para executar o procedimento:

    GRANT EXECUTE ON dbo.uxp_cmdshell TO [your_user_or_role!];

    Agora your_user, quando faz login e tenta executar chamadas quer queira quer não para xp_cmdshell:

    EXEC master.dbo.xp_cmdshell 'dir c:\';

    Eles receberão:

    Msg 229, Nível 14, Estado 5, Procedimento xp_cmdshell, Linha 1
    A permissão EXECUTE foi negada no objeto 'xp_cmdshell', banco de dados 'mssqlsystemresource', esquema 'sys'.

    No entanto, se eles passarem o mesmo comando para seu novo procedimento:

    EXEC dbo.uxp_cmdshell 'dir c:\';

    Ele funcionará bem (supondo que sua conta proxy esteja configurada corretamente e/ou a conta de serviço do SQL Server tenha as permissões adequadas).

    Isso pode dar algum trabalho, mas efetivamente permite que você controle exatamente o que seus usuários podem fazer com xp_cmdshell.

    • 9

  2. Você também pode configurar uma conta proxy usando sp_xp_cmdshell_proxy_account para permitir que não administradores usem xp_cmdshell. Isso permitirá que você configure uma conta do Windows com menos privilégios em vez de xp_cmdshell sempre usando a conta de serviço do SQL Server. Isso é semelhante à configuração de contas proxy para trabalhos do SQL Agent.

    • 6

relate perguntas