Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 MSOffice & SQL Server.  [new]
ArtemF
Member

Откуда:
Сообщений: 8
Доброго времени суток, уважаемые коллеги.
Подскажите как можно закрыть возможность чтения баз SQL через MSOffice
с учетом того что доменная аутентификация необходима для соблюдения политики безопасности.
26 май 15, 11:48    [17689919]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
Glory
Member

Откуда:
Сообщений: 104760
ArtemF
Подскажите как можно закрыть возможность чтения баз SQL через MSOffice
с учетом того что доменная аутентификация необходима для соблюдения политики безопасности.

Если у пользователя есть права на "чтение баз", то какая разница, из какой программы он это сделает ?
26 май 15, 11:50    [17689940]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7868
ArtemF, ограничьте права пользователям, серверу без разницы с каким клиентом работать. Все остальные добрые советы от лукавого.
26 май 15, 11:54    [17689963]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
ArtemF
Member

Откуда:
Сообщений: 8
Glory, разница в том что есть оболочка с которой работают манагеры и есть базы до которых по секьюрным политикам они доступ иметь как бы не должны...
но через Excel Data/From Other Sources можно открыть все что угодно.
26 май 15, 11:54    [17689968]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
ArtemF
Member

Откуда:
Сообщений: 8
Владислав Колосов, опять же по политикам компании каждый месяц обязаны менять пароли, а раз в месяц сбрасывать пароли всем сотрудникам, коих не мало, проблемно. по этому и прикрутили доменные учетки к серваку.(((
26 май 15, 11:57    [17689982]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
Glory
Member

Откуда:
Сообщений: 104760
ArtemF
разница в том что есть оболочка с которой работают манагеры и есть базы до которых по секьюрным политикам они доступ иметь как бы не должны...
но через Excel Data/From Other Sources можно открыть все что угодно.

Если они не имеют прав на сервере, то опять же неважно, из какой программы они не смогут "иметь права"
26 май 15, 11:57    [17689989]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7868
ArtemF, в этом случае Вам следует заменить прямой доступ к таблицам на доступ через процедуры, функции и представления. Иначе нет никаких гарантий.
26 май 15, 12:02    [17690020]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
ArtemF
Member

Откуда:
Сообщений: 8
Glory, я прошу прощения, может чего не догоняю.
необходимо что бы через основную-легальную оболочку юзер вносил изменения и работал с базами.
но из office и ODBC юзер иметь доступ не должен.
обрезать права не вариант, так как все права соответствуют действительности.
выходит что единственный вариант как то заблочить доступ со всех офисных приложух.
26 май 15, 12:12    [17690101]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
Glory
Member

Откуда:
Сообщений: 104760
ArtemF
Glory, я прошу прощения, может чего не догоняю.
необходимо что бы через основную-легальную оболочку юзер вносил изменения и работал с базами.
но из office и ODBC юзер иметь доступ не должен.
обрезать права не вариант, так как все права соответствуют действительности.
выходит что единственный вариант как то заблочить доступ со всех офисных приложух.

Серверу все равно, как называется клиентское приложение
Мало того, строка соединения позволяет любому приложению назваться любым именем, хоть Оффисом, хоть Нотепадом
26 май 15, 12:17    [17690126]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
Minamoto
Member

Откуда: Москва
Сообщений: 1162
ArtemF, обычно это чисто фишка Oracle - прокидывать пользователей из клиентского приложения в базу данных.
В MS SQL чаще используется трехзвенная архитектура- должен быть сервер приложений, который один имеет доступ к базе данных, авторизует пользователей, подключающихся к нему, и выдает им нужные данные в зависимости от полученных прав.

Если же вы напрямую всех пользователей завели в СУБД - то считайте, что они имеют доступ ко всему, к чему вы этот доступ выдали - ко всем данным, к изменению данных.
26 май 15, 12:37    [17690216]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7868
Можно использовать logon trigger (Триггеры входа), если ситуация безвыходная, но они требуют хорошего понимания последствий.
26 май 15, 13:54    [17690728]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
Wlr-l
Member

Откуда:
Сообщений: 522
Minamoto,

Если у ТС не продумана система безопасности, то какая разница Oracle или MS SQL, двух или трехзвеная архитектура?

Кстати, система безопасности MS SQL Server позволяет ему работать в качестве сервера приложений в том смысле, что он, согласно вашему определению, "авторизует пользователей, подключающихся к нему, и выдает им нужные данные в зависимости от полученных прав".

ТС нужно всего-то определить роли (например, простойПользователь, непростойПользователь), дать этим ролям (principals) соответствующие права на объекты базы данных (securable), приписать пользователей к этим ролям и все.
26 май 15, 13:56    [17690736]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
Wlr-l
Member

Откуда:
Сообщений: 522
Владислав Колосов
Можно использовать logon trigger (Триггеры входа), если ситуация безвыходная, но они требуют хорошего понимания последствий.

Интересно, как этот logon trigger определит приложение, которое пытается получить данные, если как было уже отмечено "строка соединения позволяет любому приложению назваться любым именем, хоть Оффисом, хоть Нотепадом"?
26 май 15, 14:08    [17690797]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7868
Wlr-l, не все пользователи обладают знаниями о строках подключения.
26 май 15, 14:23    [17690916]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
Wlr-l
Member

Откуда:
Сообщений: 522
Владислав Колосов
Wlr-l, не все пользователи обладают знаниями о строках подключения.

Как говорил один мой знакомый "Сила нашей системы в низкой квалификации пользователей".

Хотя вопрос был о logon trigger и параметре строки подключения "Application Name".
26 май 15, 14:29    [17690964]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31439
ArtemF
необходимо что бы через основную-легальную оболочку юзер вносил изменения и работал с базами.
но из office и ODBC юзер иметь доступ не должен.
обрезать права не вариант, так как все права соответствуют действительности.
выходит что единственный вариант как то заблочить доступ со всех офисных приложух.
Задача нерешаемя.

Если пользователь может послать сетевой пакет с запросом информации, а сервер ему эту информацию предоставляет, то остаётся делом техники, каким образом он пошлёт этот пакет. Например, через пункт "Выполнить" в меню "Пуск" - этого достаточно для обращения к серверу, не нужны никакие "офисные пакеты".

Задачи безопасности решаются использованием для авторизации роли приложения, или, ещё лучше, регулированием прав на стороне сервера, что бы было уже всё равно, через какое приложение работает пользователь.
26 май 15, 14:41    [17691021]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31439
Владислав Колосов
Wlr-l, не все пользователи обладают знаниями о строках подключения.
Для утечки достаточно одного, или провести инструктаж, или просто дать файлик vbs
26 май 15, 14:42    [17691026]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31439
Minamoto
ArtemF, обычно это чисто фишка Oracle - прокидывать пользователей из клиентского приложения в базу данных.
В MS SQL чаще используется трехзвенная архитектура- должен быть сервер приложений, который один имеет доступ к базе данных, авторизует пользователей, подключающихся к нему, и выдает им нужные данные в зависимости от полученных прав.
В MS SQL тоже для классических приложений клиент-сервер используют такую схему, с пользователями в СУБД.

Но это всё неважно.

В трёхзвенной архитектуре у ArtemF был бы такой же вопрос - "в сервере никакого управления правами нет, как сделать так, что бы к серверу приложений можно было обратиться только из моей программы?"
26 май 15, 14:53    [17691088]     Ответить | Цитировать Сообщить модератору
 Re: MSOffice & SQL Server.  [new]
Minamoto
Member

Откуда: Москва
Сообщений: 1162
alexeyvg, с сервером приложений можно гибче управлять доступом - можно реализовать шифрование, закрыть некорректные способы обновления данных, предоставив наружу только определенные методы, которые внутри будут проверять соблюдение условий для обновления и т.п.. Собственно, с двузвенной архитектурой тоже предложили такой вариант - предоставить пользователям только хранимые процедуры, закрыв прямой доступ к данным.
26 май 15, 15:30    [17691341]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить