¿Qué cuenta se debe usar para instalar los parches de SQL Server 2008?

Question

¿Qué cuenta se debe usar para instalar los parches de SQL Server 2008?

#1 de KDEx (1 votos)

1

La empresa para la que trabajo actualmente está llevando a cabo un proyecto para remediar (entre otras cosas) una prueba de detección para los que se encontró una cuenta de nivel de dominio privilegiada (que fue comprometida por los examinadores de la pluma durante la auditoría) Múltiples tareas de mantenimiento y desarrollo en producción. Actualmente, estamos intentando desalentar el uso de esta cuenta y dividir su funcionalidad en cuentas de servicio separadas. Estamos recibiendo un rechazo especialmente firme del grupo de DBA sobre el tema de tratar de desalentar su uso en la instalación de parches de SQL Server.

Hasta ahora, no he podido encontrar ninguna guía específica para las cuentas cuando se trata de "mejores prácticas" para instalar parches, así que me preguntaba si alguien tenía conocimiento de primera mano o un buen punto de partida para saber dónde. Mira. Gracias

patching

pregunta easleyj 27.12.2014 - 01:43

fuente

1 respuesta

Lea otras preguntas en las etiquetas patching

Navegadores modernos, ¿seguro para ignorar CSRF? Riesgo de cuenta de administrador de Wordpress comprometido

score 1 · Accepted Answer

Como usted mencionó, un pentester anterior comprometió la cuenta de administrador de dominio. Una vez que esto sucede, casi toda la red es propiedad del atacante.

Esto es parte de la razón por la que debes tener cuidado al usar una cuenta de administrador de dominio para realizar la administración de parches. Si emite comandos remotos a través de PSExec, RunAs, RDP, etc., se deja un token en ese sistema remoto. Si ese sistema remoto se ve comprometido (y el atacante ahora es un administrador local), el atacante querrá elevar su influencia en toda la red. Si se usó una cuenta de administrador de dominio para la aplicación remota de parches, se puede lograr una escalada de privilegios a través de robo de fichas . Metasploit incluso tiene un módulo agradable y fácil para esto. Y ahora el atacante es un dominio-admin.

En la referencia SANS recomiendan

debe habilitar la casilla de verificación "La cuenta es confidencial y no se puede delegar" dentro de las propiedades de las cuentas

Mencionan que esto no debería tener efectos adversos en una cuenta de administrador de dominio.

Finalmente Si tiene muchas personas con cuentas de administrador de dominio que pueden indicar otros problemas mayores a la mano. Seguramente, también es una buena idea dividir la cuenta de administrador de dominio en cuentas de servicio separadas (que no sean dominio-administrador).