Безопасность СУБД СУБД имеет свои собственные: Пользовательские бюджеты Механизм ведения аудита Механизм разграничения доступа Язык программирования Механизм управления паролями

Microsoft SQL Server (организация системы безопасности)

Службы SQL Server Local System Account Domain User Account

Режимы доступа к серверу Стандартный (Standard Security) Интегрированный (Integrated Security)

Системные таблицы Syslogins SysusersSysprotects Sysmemebrs Sysobjects

Таблица Syslogins Syslogins Sysusers Одна на сервер Идентификаторы и пароли пользователей SQL Server Информация о пользователях и группах Windows NT

Таблица Sysusers Syslogins Sysusers Есть в каждой БД Права доступа к БД Права доступа к объектам БД

Таблицы Sysprotects и Sysobjects SysprotectsSysobjects Есть в каждой БД Информация об объектах БД

Таблица Sysmembers Syslogins Sysusers Sysmembers Одна на сервер Принадлежность пользователей к ролям

Стандартные идентификаторы пользователей SA BULTIN/Administrators

Доступ к БД Идентификатор пользователя (Login) Учётное имя в БД (User account)

Стандартные учётные имена Dbo guest Системный администратор Пользователь, не имеющий учётного имени

Роли Именованный набор прав Уровень сервера Уровень БД

Доступ без учётного имени Учётная запись guest роль Public

Разрешения (Permissions) Выполнение SQL-выражений Действия с объектами Предопределённые (стандартные)

Разрешения (Permissions) Выполнение SQL-выражений оператор CREATE DATABASE операторы создания объектов БД

Разрешения (Permissions) Действия с объектами Исполнение хранимых процедур Работа с таблицами и видами Доступ к определённым полям

Разрешения (Permissions) Предопределённые (стандартные) На основе принадлежности к роли Разрешения владельца объекта

Database Scanner Взгляд на СУБД с точки зрения безопасности Поддержка MS SQL, Oracle, Sybase Интеграция с Internet Scanner

Уязвимости СУБД Microsoft SQL Server Sybase Adaptive Server Oracle Default Admin sa sys, system Default Admin passwords blank sys - "change_on_install" system - "manager" Default OS accounts "Local System" for NT "sybase" for Unix "Local System" for NT "oracle" for Unix "Local System" for NT Бюджеты по умолчанию

Уязвимости СУБД ELEMENT MS SQL ServerSybase AS Login / Account Management Password Management Rights / Permissions Oracle Strength Aging Stale Logins/Accts. Off Hours Usage Attacks Trojan Horses Stale Logins/Accts.No Control No Control in 7 Бюджет, неиспользуемый в течение долгого времени

ELEMENT MS SQL ServerSybase AS Login / Account Management Password Management Rights / Permissions Oracle Strength Aging Stale Logins/Accts. Off Hours Usage Attacks Trojan Horses Off Hours Usage No Control Отсутствие средств разграничения доступа по времени работы Контроль соединений в запрещённые часы работы Уязвимости СУБД

ELEMENT MS SQL ServerSybase AS Login / Account Management Password Management Rights / Permissions Oracle Strength Aging Stale Logins/Accts. Off Hours Usage Attacks Trojan Horses AttacksNo Protection in 7 Серия неудачных попыток входа за короткий промежуток времени Microsoft SQL Server, Sybase, Oracle 7 не блокируют бюджеты Oracle 8 FAILED_LOGIN_ATTEMPT parameter Login Attempt Уязвимости СУБД

Атака по словарю

Регистрация сервера с использованием Standard Security сохраняет пароль SA в реестре –HKEY_CURRENT_USER\SOFTWARE\Microsoft\Micros oft SQL Server\SQLEW\Registered Server\SQL 6.5. Уязвимости СУБД Открытый пароль SA

Microsoft SQL Server, Sybase, and Oracle 7 не имеют механизмов контроля возраста пароля Определение разумного интервала смены пароля уменьшает риск Oracle 8 имеет средства контроля возраста пароля: –Password Grace Time –Password Life Time –Password Reuse Max –Password Reuse Time ELEMENT MS SQL ServerSybase AS Login / Account Management Password Management Rights / Permissions Oracle Strength Aging Stale Logins/Accts. Off Hours Usage Attacks Trojan Horses Aging No Facility in 7 Уязвимости СУБД Возраст пароля

sp_password SA New Password Уязвимости СУБД Троянские кони в хранимых процедурах

Уязвимости СУБД Доступ к ОС через СУБД

ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ Database Scanner Database Scanner

Характеристики Database Scanner Выявление слабых паролей. Проверка срока действия пароля. Обнаружение атак. Выявление неиспользуемых бюджетов. Проверка ограничений по времени работы.

Authentication Параметры идентификации и аутентификации Authorization Права и допуски пользователей к объектам БД System Integrity Параметры ОС (платформы) Группы выполняемых проверок