Apagar xp_CmdShell es un poco como poner un velo sobre la carne podrida. Aporta a la mesa una falsa sensación de seguridad y las moscas aún pueden llegar a la carne. Permíteme explicarte.
¿Quién puede usar xp_CmdShell? Está bien. Solo las personas / inicios de sesión de aplicaciones con privilegios "SA" o las personas con las que cometió el horrible error de otorgarle un proxy pueden usarlo.
Siguiente pregunta. Si tiene xp_CmdShell desactivado, ¿quiénes son las únicas personas que pueden volver a encenderlo? Corregir de nuevo! Solo las personas / aplicaciones con privilegios "SA" pueden volver a activarlo.
Entonces, ¿cuál es el verdadero problema de que xp_CmdShell sea un riesgo de seguridad? La respuesta es que xp_CmdShell NO es un riesgo de seguridad. La mala seguridad es el único riesgo de seguridad. Si un pirata informático o un usuario interno malintencionado ingresa al sistema con "SA" privs, entonces pueden activar xp_CmdShell en cualquier momento. Sí, esa acción se registra pero solo proporciona un testimonio documentado de que faltaba una falta de seguridad para empezar.
Girar xp_CmdShell no hace nada por seguridad, excepto para proporcionar una oportunidad para que esa parte del código de un pirata informático vuelva a activarlo.
Lo diré de nuevo. xp_CmdShell no es un riesgo de seguridad. Sólo la mala seguridad es un riesgo de seguridad. Arregla tu seguridad y luego enciende xp_CmdShell. Es una herramienta maravillosa y se la está perdiendo debido a malas prácticas de seguridad y mitos.