Sicherheit bei Ad hoc Zugriff für Excel

Question

Hallo,

spricht etwas gegen das Einschalten der Option, dass man mit einen OPENROWSET auf ein XLSX-File zugreift? Leider hat unser Kunde recht wenig Ahnung was das Speichern von Excel-Daten in z.B. CSV betrifft. Ist grundsätzlich einfach, aber naja. Somit würden wir einfach das Excel-File als solches einlesen.

Frage: Spricht aus der Sicht der Sicherheit irgendetwas dagegen? Der SQL-Server läuft bei einem Provider. Keine Ports nach außen bezüglich der DB sind offen.

---

Gruß Hipp

Answer 1

Hallo Hipp,

meiner Meinung nach spielt es keine wirkliche Rolle ob die Daten aus einer .xlsx oder csv Datei kommen. 

Gruß Benjamin

---

Benjamin Hoch
MCSE: Data Platform
MCSA: Windows Server 2012
Blog

Answer 2

Hallo Benjamin,

vielen Dank für die Info. Doch mir geht es grundsätzlich um die Tatsache, dass diese Option generell erst einmal abgschaltet ist. Stellt das Einschalten ein Sicherheitsrisiko dar?

sp_configure 'show advanced options', 1;
RECONFIGURE;
sp_configure 'Ad Hoc Distributed Queries', 1;
RECONFIGURE;
GO

---

Gruß Hipp

Answer 3

Es fällt mir schwer die eine gute Antwort zu geben.

Die Funktion hat gewisse Risiken indem man für den Zugriff Login Daten hinterlegen kann/muss die dann für die Verbindung genutzt werden. Ob es ein Problem ist kann letzllich nur der "Kunde" entscheiden. Wenn die Funktion wirklich gebraucht wird ohne dass es alternativen gibt, dann spielen die Nachteile keine wirkliche Rolle.

Gruß Benjamin

---

Benjamin Hoch
MCSE: Data Platform
MCSA: Windows Server 2012
Blog

Answer 4

Login Daten?

Wir würden den EXCEL-Aufruf in einer SP abgeschottet lokal laufen lassen. Der Befehl selbst erfordert wie wir festgestellt haben keine zusätzlichen Login-Daten. Könnte man das uns bitte etwas näher erkären.

---

Gruß Hipp

Answer 5

Grüße,

ich denke mal dass man auf die Dateien regelmäßig zugreifen will. Wenn ja sollte man es über einen "Verbindungsserver" realisieren.

--

https://technet.microsoft.com/de-de/library/ms187569%28v=sql.105%29.aspx?f=255&MSPPError=-2147217396

Ad-hoc verteilte Abfragen verwenden die OPENROWSET- und OPENDATASOURCE-Funktionen, um eine Verbindung mit Remotedatenquellen herzustellen, die OLE DB verwenden. OPENROWSET und OPENDATASOURCE sollten nur für Verweise auf OLE DB-Datenquellen verwendet werden, auf die selten zugegriffen wird. Sie sollten einen Verbindungsserver für Datenquellen definieren, auf die mehr als nur wenige Male zugegriffen wird.

---

Bei dem Verbindungsserver hinterlegt man im Normalfall die Zugangsdaten für den Zugriff um auch für Nutzer zu ermöglichen welche auf die Quelle keinen direkten Zugriff haben (mit SQL Server Login auf Netzlaufwerk geht nicht).

Wenn es aber alles lokal und abgesichert ist dann verstehe ich den Grund der Frage nicht.

---

Benjamin Hoch
MCSE: Data Platform
MCSA: Windows Server 2012
Blog

Answer 6

Mittel "Ad Hoc Distributed Queries" lässt sich ein Angriff auf den SQL Server viel einfacher vorantreiben.

Wenn zB via SQLInjection der Zugriff erfolgt ist, kann man mittel distributed Queries schneller weiter vorankommen in der Attacke.

Der Erst-Zugriff von Außen ist nicht möglich, da kein weiterer Zugang geöffnet wird.

Ich hoffe, das klärt es.

Prinzipiell würde ich, wenn dies wirklich wirkloich notwendig ist, und nicht ein SSIS-Paket anstelle verwendet werden kann (geht in 90% aller Fälle), dann zumindest dafür sorgen, dasss diese Option nur für genau den benötigten Zeitraum offensteht/aktiviert ist.

---

Andreas Wolter (Blog | Twitter)
MCSM: Microsoft Certified Solutions Master Data Platform/SQL Server 2012
MCM SQL Server 2008
MVP Data Platform
www.SarpedonQualityLab.com | www.andreas-wolter.com

Answer 7

Hallo Andreas,

vielen Dank. Wir werden genau die letzte Option prüfen.

---

Gruß Hipp