Elevacion de privilegios

Respuesta simple: No.

Respuesta elaborada:

Un sysadmin podría ejecutar cosas (por ejemplo con xp_cmdshell) bajo la
cuenta de servicio de SQL Server, así que si la cuenta de servicio pertenece
al grupo de administradores locales del servidor, al final un sysadmin
podría actuar como un administrador local de la máquina. Sin embargo, si se
siguen las prácticas recomendadas para asignar la cuenta de servicio de SQL
Server, las cuales recomiendan usar una cuenta normal y corriente de usuario
sin privilegios especiales para la cuenta de servicio, no será posible que
un sysadmin pueda actuar como un administrador.

Saludos:

Jesús López



"Andres Eliseo Soncini" escribió en el
mensaje de noticias news:%

Buenas a todos.

Queria saber si usuarios del dominio pertenecientes a la funcion SYSADMIN
de un SQL Server, pueden realizar autoelevacion de privilegios hasta
ponerse en el grupo administradores locales de dicho server.

Saludos y gracias.

Muchisimas gracias. Habia visto este link en msdn y me preocupo un poco.
http://msdn.microsoft.com/es-es/library/ms178032(SQL.90).aspx

Saludos,
Andres.


"Jesús" escribió en el mensaje
news:

Respuesta simple: No.

Respuesta elaborada:

Un sysadmin podría ejecutar cosas (por ejemplo con xp_cmdshell) bajo la
cuenta de servicio de SQL Server, así que si la cuenta de servicio
pertenece al grupo de administradores locales del servidor, al final un
sysadmin podría actuar como un administrador local de la máquina. Sin
embargo, si se siguen las prácticas recomendadas para asignar la cuenta de
servicio de SQL Server, las cuales recomiendan usar una cuenta normal y
corriente de usuario sin privilegios especiales para la cuenta de
servicio, no será posible que un sysadmin pueda actuar como un
administrador.

Saludos:

Jesús López



"Andres Eliseo Soncini" escribió en el
mensaje de noticias news:%

Buenas a todos.

Queria saber si usuarios del dominio pertenecientes a la funcion SYSADMIN
de un SQL Server, pueden realizar autoelevacion de privilegios hasta
ponerse en el grupo administradores locales de dicho server.

Saludos y gracias.

Pero ahí lo que dice es que los administradores locales de la máquina
pertenecen al rol sysadmin, no al contrario.


"Andres Eliseo Soncini" escribió en el
mensaje de noticias news:%

Muchisimas gracias. Habia visto este link en msdn y me preocupo un poco.
http://msdn.microsoft.com/es-es/library/ms178032(SQL.90).aspx

Saludos,
Andres.


"Jesús" escribió en el mensaje
news:

Respuesta simple: No.

Respuesta elaborada:

Un sysadmin podría ejecutar cosas (por ejemplo con xp_cmdshell) bajo la
cuenta de servicio de SQL Server, así que si la cuenta de servicio
pertenece al grupo de administradores locales del servidor, al final un
sysadmin podría actuar como un administrador local de la máquina. Sin
embargo, si se siguen las prácticas recomendadas para asignar la cuenta
de servicio de SQL Server, las cuales recomiendan usar una cuenta normal
y corriente de usuario sin privilegios especiales para la cuenta de
servicio, no será posible que un sysadmin pueda actuar como un
administrador.

Saludos:

Jesús López



"Andres Eliseo Soncini" escribió en el
mensaje de noticias news:%

Buenas a todos.

Queria saber si usuarios del dominio pertenecientes a la funcion
SYSADMIN de un SQL Server, pueden realizar autoelevacion de privilegios
hasta ponerse en el grupo administradores locales de dicho server.

Saludos y gracias.

Probablemente no puedan hacerlo facilmente pero si es sysadmin en ciertos
casos se puede hacer algunas cosas facilmente. Por ese motivo hay que ser
muy cuidadoso con los permisos que se asignan.

Esto dependerá de los permisos de la cuenta de servicio principalmente, pero
tambien de otros factores. La mayoria de los problemas ocurren porque muchas
instalaciones usan localsystem que es administradora local del equipo como
cuenta de servico del SQL Server..

Supongamos el siguiente escenario:

Un usuario es miembro del grupo "domain users" (usuario del dominio), o
pero aun, un usuario que ni siquiera es usuario del dominio en el sistema
operativo, pero que si es sysadmin del SQL Server y que ademas la cuenta de
servico del SQL Server es administradora local del equipo y que no hay
politicas que impidan la creacion de usuarios locales en el equipo.

Por ejemplo si es sysadmin podria habilitar xp_cmdshell:

EXEC master.dbo.sp_configure 'show advanced options', 1
RECONFIGURE
EXEC master.dbo.sp_configure 'xp_cmdshell', 1
RECONFIGURE

Ya puede salir al sistema operativo.

Como la cuenta de servicio es administradora local del equipo estarias en
problemas, ya que esta persona podria agregar un nuevo usuario administrador
local ejecutando lo siguiente.
.
EXEC xp_cmdshell 'net user NuevoUsuarioPepe /add'
EXEC xp_cmdshell 'net localgroup administrators NuevoUsuarioPepe /add'

Todo esto es posible debido a un conjunto de erroes administrativos,y por lo
tanto es sumamente importante restribgir el uso del sysadmin y obviamente el
SA.

Por lo tanto hay que seguir las mejores practicas reducuendo la superficie
de ataque.

1- AL MENOS USAR UNA CUENTA DE SERVICIO DEL SQL SERVER QUE SOLO TENGA
PERMISOS DE USUARIO DEL DOMINIO
2- USAR EL ROL SYSAMIN SOLO PARA LOS ADMINISTRADORES DEL SQL SERVER
3- NO HABILITAR EL xp_cmdshell Y DE SER ASI USAR UNA PROXY ACCOUNT CON
MINIMOS PRIVILEGIOS PARA LOS USUARIOS.

Sugiero ademas que tengas siempre actualizado el equipo Windows y SQL.


Saludos


Ing. Jose Mariano Alvarez
http://blog.josemarianoalvarez.com/
Microsoft MVP
SQLTotal Consulting

(Cambia los ceros por O y saca lo que sobra)

Este mensaje se proporciona tal como es, SIN GARANTIAS de ninguna clase. Por
favor tratar de indicar la versión de SQL y Service Pack. La inclusión de
(CREATE, INSERTS, etc.) para poder reproducir el problema también ayuda.










"Andres Eliseo Soncini" wrote in message
news:#

Buenas a todos.

Queria saber si usuarios del dominio pertenecientes a la funcion SYSADMIN
de un SQL Server, pueden realizar autoelevacion de privilegios hasta
ponerse en el grupo administradores locales de dicho server.

Saludos y gracias.