Sicherheitsbedenken bei Benutzern, die für R-Skripts in SQL Server erstellt wurden

385
Talset

Wie in dieser Frage und in diesem MSDN-Forum beschrieben, werden durch die Installation von R mit einer Microsoft SQL Server 2017-Installation (möglicherweise auch andere Versionen) 20 Benutzer in der SQLRUserGroup erstellt. Wie in den Links erläutert, werden diese Benutzerkonten alle nach Entwurf erstellt, um die Ausführung mehrerer R-Skripts zu ermöglichen.

Ich kann jedoch keine relevanten Sicherheitsinformationen zu diesen Konten finden. Das Hinzufügen von 20 Logins klingt nach einer Möglichkeit, die Angriffsfläche meines Systems für einen Angreifer zu vergrößern.

Bedenken: Was sind die sicherheitsbezogenen Auswirkungen dieser Benutzer auf meinem Computer? Führt dies zu einer Sicherheitslücke, wenn jemand weiß, wie die Passwörter für diese Benutzer generiert / gespeichert werden (oder wenn die Passwörter zunächst nur schwach sind)?

1
Möglicherweise erhalten Sie eine bessere Antwort auf der Website security.stackexchange ... Darius vor 5 Jahren 1
Wenn ein Eindringling physischen Zugriff auf Ihre Maschine hat, sind alle Wetten deaktiviert. Sie sollten sicherstellen, dass die SQLRUserGroup nur über die Berechtigungen verfügt, die der Benutzer zum Ausführen des Skripts benötigt. Ramhound vor 5 Jahren 0
Danke für die Antworten. Aus absoluter Sicht stimme ich zu, dass alle Wetten nach dem physischen Zugriff deaktiviert sind, aber ich denke nicht, dass dies jegliche Versuche der Minderung zunichte macht. Es geht auch nicht unbedingt um physischen Zugang. Möglicherweise hat jemand die Konfiguration des Remotezugriffs (z. B. RDP) zugelassen und weiß nicht, dass diese Konten möglicherweise anfällig sind. Härten immer gut. Wenn SuperUser der unangemessene Ort dafür war und keine Antworten liefert, hätte ich es gerne zur Sicherheit verschoben, aber ich dachte, das wäre etwas Superuser-ähnlicher, da es sich um Dienste handelt, die mit SQL Server bereitgestellt werden. Talset vor 5 Jahren 0
Warum erlauben Sie diesen Benutzern, remote auf Ihr System zuzugreifen? Sie brauchen diese Erlaubnis nicht. Wenn Sie Sicherheitsbedenken hinsichtlich des RDP-Zugriffs haben, sollten Sie sie vollständig deaktivieren, sofern Sie dies nicht benötigen. Ramhound vor 5 Jahren 0
100% stimmen zu, dass dies ideal wäre. Talset vor 5 Jahren 0
(Keine Bearbeitungszeit) Um zu klären, geht es nicht nur um _me_, es geht darum, den Zugriff zu verringern (den Aufwand zu erhöhen, der erforderlich wäre, um Kompromisse einzugehen, z. B. das Sperren einer Tür trotz vorhandener Schlosser), und für jeden, der diese Benutzer ohne installiert hat Mögliche Auswirkungen kennen (möglicherweise sind andere Computer nicht so hart wie meine, daher sollten wichtige Hinweise oder Maßnahmen zur Schadensminderung jedem hinzugefügt werden, der diese Benutzer installiert). Talset vor 5 Jahren 0
@Talset Wenn Sie Sicherheitslücken abschwächen möchten, begrenzen Sie die Angriffsfläche, indem Sie alle Funktionen, Funktionen, Dienste usw. deaktivieren, die auf dem Computer nicht benötigt werden, für die Sie Sicherheitsbedenken haben. Wenn SQL Server in diesem Fall also äußerst wichtig und für Ihr Unternehmen von entscheidender Bedeutung ist usw., müssen Sie ihn einfach auf einem eigenen dedizierten Betriebssystem installieren und nur den Fernzugriff durch Skripts (was auch immer sie sind) erlauben, und installieren Sie keine anderen Komponenten das gleiche Betriebssystem wie der SQL Server. Dies ist aus Sicherheitsgründen Standard 101. Pimp Juice IT vor 5 Jahren 0
RDP, R-Skripts usw. auf dem SQL Server sind daher keine gute Idee, wenn Sie Sicherheitsbedenken bezüglich dieses SQL Servers haben und dies für Ihre Umgebung von entscheidender Bedeutung ist. Erlauben Sie Ihren Administratoren nur den Remote-Zugriff auf den physischen Server über RDP und alle anderen und alle anderen Prozesse, Skripts usw., nur Remote-Zugriff und keinen Zugriff auf Betriebssystemebene. Verwenden Sie nach Möglichkeit auch gespeicherte Prozeduren und führen Sie SPs aus, wenn der Server die umfangreiche Verarbeitung ausführen soll. Es gibt viele Möglichkeiten, eine Katze zu enthäuten, auch wenn Sie sicherheitsbewusst sein möchten. Pimp Juice IT vor 5 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme