Protezione integrata e autorizzazioni elevate
L'esecuzione di un report con un account con autorizzazioni elevate espone SQL Server a una minaccia di violazione della protezione se nella query di report sono incluse istruzioni Transact-SQL dannose, ad esempio istruzioni che creano accessi non autorizzati, modificano o eliminano dati oppure introducono dati errati, e il report viene eseguito da un utente con autorizzazione elevata nel server contenente l'origine dati. Se, ad esempio, un utente malintenzionato pubblica un report contenente una query dannosa, questa verrà elaborata con le credenziali di amministratore nel caso in cui sussista una delle condizioni seguenti:
L'origine dei dati del report è configurata per l'utilizzo della protezione integrata e l'utente che esegue il report ha eseguito l'accesso come amministratore.
L'origine dei dati del report è configurata in modo da richiedere le credenziali e l'utente digita le proprie credenziali di amministratore per eseguire il report.
Procedure consigliate per ridurre il rischio di un attacco tramite elevazione dei privilegi
Per limitare questa minaccia, attenersi a una o più procedure di protezione consigliate riportate di seguito:
Utilizzare account con privilegi minimi per accedere alle origini dei dati esterne che forniscono i dati per un report. È possibile configurare le origini dei dati dei report in modo che utilizzino sempre le credenziali archiviate di un account con privilegi minimi.
Utilizzare origini dei dati condivise per specificare le informazioni di connessione alle origini dei dati. È possibile utilizzare assegnazioni di ruolo per l'origine dei dati condivisa in modo da controllare l'accesso alla stringa di connessione e alle impostazioni che definiscono la modalità di recupero delle credenziali in fase di esecuzione.
Utilizzare assegnazioni di ruolo e processi del flusso di lavoro per essere certi che in un server di report vengano pubblicati solo report sicuri. Mediante le assegnazioni di ruolo è possibile limitare la pubblicazione dei report a cartelle specifiche e richiedere agli amministratori di esaminare il file RDL e la query di un report appena pubblicato prima di spostarlo nella posizione definitiva. Si noti che in Reporting Services non è prevista l'applicazione di procedure operative standard definite per l'organizzazione. Pertanto, non è disponibile alcuna funzionalità per rendere obbligatoria una verifica prima della pubblicazione.
Disattivare la protezione integrata come opzione per le credenziali per l'origine dei dati di un report. Per disattivare le connessioni all'origine dati che utilizzano la protezione integrata, impostare EnableIntegratedSecurity su False. Per ulteriori informazioni sull'impostazione di questa proprietà nella pagina delle proprietà del server in Management Studio, vedere Procedura: Impostazione delle proprietà di un server di report (Management Studio).
L'utilizzo della protezione integrata per accedere a origini dei dati esterne costituisce un serio rischio per gli utenti dei report che potrebbero non essere a conoscenza del fatto che il token di protezione viene passato a un'origine dei dati esterna. Prima dell'esecuzione infatti, gli utenti non vengono avvisati che il report è configurato per l'utilizzo della protezione integrata. È inoltre possibile che gli utenti non considerino l'apertura di un report pericolosa quanto l'apertura di un allegato di posta elettronica di origine sconosciuta. I rischi per la protezione sono tuttavia uguali in entrambi i casi. Una query dannosa può infatti danneggiare o compromettere un server così come uno script dannoso attivato tramite un collegamento ipertestuale o nascosto in un allegato di posta elettronica può danneggiare o compromettere una workstation.
Si noti che se si disattiva la protezione integrata, le origini dei dati dei report già configurate per utilizzarla, o configurate successivamente per utilizzarla dopo la disattivazione della funzionalità, non verranno più eseguite. Quando nel server di report non è supportata la protezione integrata, viene visualizzato l'errore seguente: "L'origine dei dati è configurata per l'utilizzo della protezione integrata di Windows. In questo server di report la protezione integrata di Windows è disattivata".