Подскажите как дропнуть xp_cmdshell под SQL 2005

Dmitry V. Nechaev
Дата: 04.02.2009 11:46:58
Всем привет.

Трабл - надо дать человеку пасс к SQL серверу но не давать к учётке. Причём сервер работает как раз под этой учёткой.

Таким образом используя xp_cmdshell человек может юзать учётку и без пароля к ней.
Доступ на SQL через sa. То есть он админ.

Вопрос - как убить xp_cmdshell. Дропнул xplog70.dll, но в отличие от 2000го это не помогает.

Хелп !!!
Glory
Дата: 04.02.2009 11:49:00
Dmitry V. Nechaev
Всем привет.

Трабл - надо дать человеку пасс к SQL серверу но не давать к учётке. Причём сервер работает как раз под этой учёткой.

"пасс к SQL серверу" означает использование sql authentication для коннекта ?
Dmitry V. Nechaev
Дата: 04.02.2009 11:54:07
Glory

"пасс к SQL серверу" означает использование sql authentication для коннекта ?


Да, аудентификация и та и другая. То есть заходит именно под sa. Можно зайти как угодно, но у него только sa пасс и больше ничего нет.
Glory
Дата: 04.02.2009 11:55:40
Dmitry V. Nechaev
Glory

"пасс к SQL серверу" означает использование sql authentication для коннекта ?


Да, аудентификация и та и другая. То есть заходит именно под sa. Можно зайти как угодно, но у него только sa пасс и больше ничего нет.

Если под sa, тогда причем тут "сервер работает как раз под этой учёткой" ?
Служба сервера работает под сетевой учетной записью
Dmitry V. Nechaev
Дата: 04.02.2009 12:00:08
Glory
Если под sa, тогда причем тут "сервер работает как раз под этой учёткой" ?
Служба сервера работает под сетевой учетной записью


дать человеку пасс к SQL серверу но не давать к учётке. Причём сервер работает как раз под этой учёткой.
Glory
Дата: 04.02.2009 12:03:26
Dmitry V. Nechaev
Glory
Если под sa, тогда причем тут "сервер работает как раз под этой учёткой" ?
Служба сервера работает под сетевой учетной записью


дать человеку пасс к SQL серверу но не давать к учётке. Причём сервер работает как раз под этой учёткой.

Ну так дайте ему пароль для sa и не давайте пароля к сетевой учетной записи
tpg
Дата: 04.02.2009 12:07:57
Dmitry V. Nechaev
Вопрос - как убить xp_cmdshell. Дропнул xplog70.dll, но в отличие от 2000го это не помогает.
В 2005 есть возможность отключения возможности запуска её кем-либо.
Dmitry V. Nechaev
Дата: 04.02.2009 12:13:04
Glory, меня вообще слышите?

с паролем от sa, имея доступ к xp_cmdshell (а как его убрать от sa?) человек автоматически может выполнять любые команды от имени учётки sql server-а.

теперь про учётку sql server. Он настроен для работы не под system а под своей учётной записью. Для этого заведён в винде аккаунт. Пароль этого аккаунта человеку дан не был.

таким образом он может элементарно слить всю базу. Этого я хочу запретить. Исключительно запретив xp_cmdshell. Других лазеек для этого нету.

Мне кажется я всё разжевал и в рот положил. Надеюсь теперь мне кто либо ответит по существу, без подозрений в моей некомпетентности.
Dmitry V. Nechaev
Дата: 04.02.2009 12:14:51
tpg
В 2005 есть возможность отключения возможности запуска её кем-либо.


Ну дык как ты запретишь sa что либо. Ты запретишь а он обратно включит. Надо физически её кильнуть как либо.
Гавриленко Сергей Алексеевич
Дата: 04.02.2009 12:15:46
Dmitry V. Nechaev
таким образом он может элементарно слить всю базу. Этого я хочу запретить. Исключительно запретив xp_cmdshell. Других лазеек для этого нету.
Блажен, кто верует. Запустит Import/Export Wizard и сольет что угодно и куда угодно.