Freigeben über


Integrierte Sicherheit und erhöhte Berechtigungen

Das Ausführen eines Berichts unter einem Konto mit erweiterten Berechtigungen kann für SQL Server eine Sicherheitsbedrohung darstellen, wenn die Berichtsabfrage bösartige Transact-SQL-Anweisungen enthält (z. B. Anweisungen, die nicht autorisierte Anmeldungen erstellen, Daten ändern oder löschen oder fehlerhafte Daten einführen) und der Bericht von einem Benutzer ausgeführt wird, der über erweiterte Berechtigungen auf dem Server verfügt, der die Datenquelle hostet. Wenn beispielsweise ein Angreifer einen Bericht veröffentlicht, der eine böswillige Abfrage enthält, wird die Abfrage unter Administratoranmeldeinformationen verarbeitet, wenn eine der folgenden Bedingungen vorliegt:

  • Die Berichtsdatenquelle ist für das Verwenden integrierter Sicherheit konfiguriert, und der Benutzer, der den Bericht ausführt, ist als Administrator angemeldet.

  • Die Berichtsdatenquelle ist mit einer Eingabeaufforderung für Anmeldeinformationen konfiguriert. Der Benutzer gibt Administratoranmeldeinformationen ein, um den Bericht auszuführen.

Bewährte Methoden zum Abwehren eines Angriffs durch Rechteerweiterungen

Um diese Gefahr zu entschärfen, folgen Sie mindestens einer der folgenden empfohlenen Sicherheitsvorgehensweisen:

  • Verwenden Sie Konten mit geringeren Privilegien, um auf externe Datenquellen zuzugreifen, die Daten für einen Bericht liefern. Sie können Berichtsdatenquellen so konfigurieren, dass immer die gespeicherten Anmeldeinformationen eines geringer privilegierten Kontos verwendet werden.

  • Verwenden Sie freigegebene Datenquellen zum Angeben von Datenquellen-Verbindungsinformationen. Sie können Rollenzuweisungen auf der freigegebenen Datenquelle zur Zugriffssteuerung auf die Verbindungszeichenfolge und auf die Einstellungen verwenden, die definieren, wie Anmeldeinformationen zur Laufzeit beschafft werden.

  • Verwenden Sie Rollenzuweisungen und Workflowprozesse, um sicherzustellen, dass nur vertrauenswürdige Berichte auf einem Berichtsserver veröffentlicht werden. Mithilfe von Rollenzuweisungen können Sie Berichtsveröffentlichungen auf bestimmte Ordner beschränken und dann Administratorenrechte für die Untersuchung der RDL-Datei (und der Abfrage) eines neu veröffentlichten Berichts vor dem Verschieben an seinen endgültigen Speicherort verlangen. Beachten Sie, dass Reporting Services keine Möglichkeit bietet, Standardvorgänge zu erzwingen, die Sie für Ihre Organisation definieren. Es gibt zurzeit keine Funktionalität, die eine Untersuchungsanforderung vor der Veröffentlichung erzwingt.

  • Deaktivieren Sie die integrierte Sicherheit als eine Anmeldeinformationsoption für Berichtsdatenquellen. Um Datenquellenverbindungen zu deaktivieren, die integrierte Sicherheit verwenden, legen Sie für EnableIntegratedSecurity die Option false fest. Weitere Informationen zum Festlegen dieser Eigenschaften auf der Seite mit den Servereigenschaften in Management Studio finden Sie unter Vorgehensweise: Festlegen von Berichtsservereigenschaften (Management Studio).

Die Verwendung von integrierter Sicherheit für den Zugriff auf externe Datenquellen stellt ein besonderes Problem für Berichtsbenutzer dar, die möglicherweise nicht wissen, dass ihr Sicherheitstoken an eine externe Datenquelle übergeben wird. (Benutzer werden nicht im Voraus gewarnt, wenn sie einen Bericht ausführen, der zum Verwenden integrierter Sicherheit konfiguriert ist.) Zusätzlich haben Benutzer möglicherweise nicht die gleichen Bedenken beim Öffnen eines Berichts wie beim Öffnen eines E-Mail-Anhangs aus unbekannter Quelle. Die Sicherheitsrisiken sind aber in beiden Szenarien gleich. Eine böswillige Abfrage kann einen Server in der gleichen Weise beschädigen oder gefährden wie ein böswilliges Skript, das durch einen Hyperlink offen gelegt oder in einem E-Mail-Anhang versteckt ist, eine Arbeitsstation beschädigen oder gefährden kann.

Beachten Sie, dass durch das Deaktivieren der integrierten Sicherheit alle Berichtsdatenquellen, die zum Verwenden integrierter Sicherheit konfiguriert sind (oder nachfolgend zum Verwenden integrierter Sicherheit konfiguriert wurden, nachdem das Feature deaktiviert wurde), nicht mehr ausgeführt werden. Der folgende Fehler wird zurückgegeben, wenn integrierte Sicherheit nicht auf Ihrem Berichtsserver unterstützt wird: "Diese Datenquelle ist für die Verwendung der integrierten Sicherheit von Windows konfiguriert. Die integrierte Sicherheit von Windows ist jedoch für diesen Berichtsserver deaktiviert."