Confidencialidad de los datos

31/10/2004 - 23:03 por Jose Nuñez | Informe spam

Soy nuevo en SQL Server, pero por lo que he estado investigando no hay forma
de impedir que los integrantes del grupo Administradores de Windows tengan
acceso a las bases de datos que corran bajo un SQL Server.

Esto es especialmente importante en organizaciones que trabajan con
información confidencial y no quieren permitir que los Administradores
tengan acceso a ella.

Se puede impedir el acceso a dichas bases a través de SQL Server, pero nada
impediría que al tener acceso físico a los archivos .mdf y .ldf los copien y
los lleven a otro SQL Server para accederlos.

Esto no ocurriría con otro tipo de archivo que mediante claves se restrinja
el acceso. Documentos de Word, planillas Excel o bases Access pueden tener
clave para accederlos, y sólo se podrian acceder utilizando programas
especializados en crackear claves.

Aparentemente si se encripta la carpeta Data donde residen estos archivos no
se puede luego iniciar el servicio (esto es sólo el resultado de una prueba
que realicé pero no estoy seguro que sea así).

Por tanto las consultas son:
- ¿hay alguna forma de ponerle clave a las bases que corren bajo un SQL
Server?
- ¿hay alguna otra forma de impedir que los Administradores de Windows
accedan a las bases?

Gracias.
Saludos.
José Nuñez
Montevideo - Uruguay

Siga el debate

6 respuestas

Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#6 Gustavo Larriera [MVP]

02/11/2004 - 02:41 | Informe spam

Siempre que se permita acceder a algún usuario a los archivos físicos de las
bases de datos, podrá copiarlos a otra instalación y atachearlos. Podemos
darle permisos sobre las carpetas de datos a la cuenta del servicio SQL y
para que los administradores no tomen permisos sobre los archivos/carpetas
puede usarse una policy que modifique
la configuración "Take ownership of files and other objects" para el grupo
de administradores.

Pero no debemos perder de vista que el tema aquí es que, según dices, se
desconfía de los propios administradores, lo cual parece un obstáculo
difícil de salvar. Un viejo axioma de seguridad decía que si "a bad guy has
unrestricted physical access to your files; they are not your files any
more" :-)

Saludos
gux
Gustavo Larriera, MVP
Uruguay LatAm
http://sqljunkies.com/weblog/gux/
Este mensaje se proporciona "COMO ESTA" sin garantias y no otorga ningun
derecho / This posting is provided "AS IS" with no warranties, and confers
no rights.
"Jose Nuñez" wrote in message
news:

Gracias Gustavo por tu respuesta.
Igualmente el hecho de que los Administradores de Windows no tengan
permisos
sobre las carpetas de datos no parece la solución, porque ellos podrian
tomar posesión de dichas carpetas y tendrian luego todos los permisos.

¿Estoy en lo cierto acerca de que copiando los archivos .mdf y .ldf y
llevándolos a otro SQL Server se podria acceder a los datos
(incorporandola
como base de datos del otro servidor)?

Saludos.
José Nuñez
Montevideo - Uruguay

"Gustavo Larriera [MVP]" wrote in message
news:u$

Respondo más abajo...

> Se puede impedir el acceso a dichas bases a través de SQL Server, pero
> nada
> impediría que al tener acceso físico a los archivos .mdf y .ldf los

copien

> y
> los lleven a otro SQL Server para accederlos.
>

El acceso a las carpetas físicas de datos se controla con permisos NTFS
otorgados únicamente a la cuenta de dominio bajo la cual corren los
servicios de SQL. Ningún usuario normal ni tampoco los administradores
necesitan acceder a las carpetas de datos donde residen los archivos

físicos

de las bases de datos.

Las recomendaciones de buenas prácticas de seguridad las puedes leer de
la
Guía de Operaciones en:

http://www.microsoft.com/technet/pr...lops3.mspx

Saludos
gux

Gustavo Larriera, MVP
Uruguay LatAm
http://sqljunkies.com/weblog/gux/
Este mensaje se proporciona "COMO ESTA" sin garantias y no otorga ningun
derecho / This posting is provided "AS IS" with no warranties, and
confers
no rights.

Siga el debate Respuesta

Responder a este mensaje

Ads by Google

Hacer una pregunta

Tengo una respuesta

1 2

Busqueda sugerida