Disattivare xp_CmdShell è un po 'come mettere un velo sulla carne in decomposizione. Porta un falso senso di sicurezza al tavolo e le mosche possono ancora arrivare alla carne. Permettimi di spiegare.
Chi può usare xp_CmdShell? Giusto. Solo gli accessi alle persone / app con i privilegiati "SA" o le persone a cui hai fatto l'errore orribile di concedere un proxy possono utilizzarlo.
Domanda successiva. Se hai disattivato xp_CmdShell, chi sono le uniche persone che possono riattivarlo? Correggere di nuovo! Solo le persone / app con privati "SA" possono riaccenderlo.
Quindi, qual è il vero problema con xp_CmdShell che rappresenta un rischio per la sicurezza? La risposta è xp_CmdShell NON è un rischio per la sicurezza. Scarsa sicurezza è l'unico rischio per la sicurezza. Se un hacker o un utente interno malintenzionato entra nel sistema con privilegi "SA", possono attivare xp_CmdShell nei momements. Sì, quell'azione viene registrata, ma questo fornisce solo testimonianze documentate che la sicurezza è stata gravemente carente all'inizio.
L'attivazione di xp_CmdShell non fa nulla per sicurezza se non fornire una possibilità per quella parte di codice di un hacker di riattivarlo per l'esecuzione.
Lo dirò di nuovo. xp_CmdShell non è un rischio per la sicurezza. Solo una cattiva sicurezza è un rischio per la sicurezza. Risolvi la tua sicurezza e quindi attiva xp_CmdShell. È uno strumento meraviglioso e ti stai perdendo a causa di cattive pratiche di sicurezza e mito.