Quale account deve essere utilizzato per installare le patch di SQL Server 2008?

Question

Quale account deve essere utilizzato per installare le patch di SQL Server 2008?

#1 da (1 voti)

1

La società per cui lavoro sta attualmente intraprendendo un progetto per rimediare (tra le altre cose) a un pen-test che rileva che un account privilegiato a livello di dominio (che è stato compromesso dai pen-tester durante l'audit) è stato utilizzato per più attività di manutenzione e sviluppo in produzione. Attualmente, stiamo cercando di scoraggiare l'utilizzo di questo account e interromperne la funzionalità in account di servizio separati. Stiamo ottenendo un particolare respingimento dal gruppo DBA sull'argomento di cercare di scoraggiare il suo utilizzo nell'installazione di patch di SQL Server.

Finora, non sono stato in grado di trovare alcuna guida specifica per gli account quando si tratta di "best practice" per l'installazione di patch, quindi mi chiedevo se qualcuno avesse una conoscenza di prima mano o un buon punto di partenza su dove Guarda. Grazie

patching

posta easleyj 27.12.2014 - 01:43

fonte

1 risposta

Leggi altre domande sui tag patching

Standard per la determinazione del livello di anonimato di un proxy Certificato di carta bancaria

score 1 · Accepted Answer

Come hai menzionato un precedente pentitore ha compromesso l'account amministratore di dominio. Una volta che questo accade praticamente l'intera rete è di proprietà dell'attaccante.

Questo fa parte del motivo per cui dovresti stare attento ad usare un account amministratore di dominio per fare la gestione delle patch. Se si eseguono comandi remoti tramite PSExec, RunAs, RDP ecc., Un token viene lasciato su quel sistema remoto. Se quel sistema remoto viene compromesso (e l'attaccante è ora un amministratore locale), l'aggressore vorrà elevare la sua influenza sull'intera rete. Se è stato utilizzato un account amministratore di dominio per le patch remote, l'escalation dei privilegi può essere eseguita tramite token-rubare . Metasploit ha anche un modulo semplice e intuitivo per questo. E ora l'attaccante è un amministratore di dominio.

Nel riferimento SANS che raccomandano

you should enable the checkbox "Account is sensitive and cannot be delegated" within the accounts' properties

Dicono che questo non dovrebbe avere effetti negativi su un account amministratore di dominio.

Finalmente se hai molte persone con account amministratore di dominio che potrebbero indicare alcuni altri problemi più importanti. La rottura dell'account amministratore di dominio in account di servizio separati (che non sono amministratori di domini) è probabilmente anche una buona idea.