New Permissions in SQL Server 2014: IMPERSONATE ANY LOGIN, SELECT ALL USER SECURABLES, CONNECT ANY DATABASE and the old CONTROL SERVER
(DE) |
(EN) |
Class Desc. |
Permission Name |
Type |
Parent Covering Permission Name |
DATABASE |
ALTER ANY DATABASE EVENT SESSION |
AADS |
ALTER ANY EVENT SESSION |
DATABASE |
KILL DATABASE CONNECTION |
KIDC |
ALTER ANY CONNECTION |
SERVER |
CONNECT ANY DATABASE |
CADB |
|
SERVER |
IMPERSONATE ANY LOGIN |
IAL |
|
SERVER |
SELECT ALL USER SECURABLES |
SUS |
Und wofür und wie können wir diese neuen Berechtigungen auf Server Ebene verwenden?
IMPERSONATE ANY LOGIN
Erinnert Ihr Euch an das Problem mit CONTROL SERVER? Das größte Problem war, das dieses Recht auch die Impersonifizierung eines jeden Kontos, inklusive der Privilegien Erweiterung zum sysadmin erlaubte. Die Details und auch andere Probleme mit CONTROL SERVER habe ich hier umfassend dokumentiert:
SQL Server 2014 gibt uns mit der Einführung der IMPERSONATE ANY LOGIN-Berechtigung Munition, dieses Problem anzugehen. - Diese Berechtigung erlaubt es, jeden Login und User zum impersonieren(!).
Wenn wir dieses mit einem DENY gegenüber dem Principal mit CONTROL SERVER Recht verwenden, verhindert es diesen, irgendeinen Login direkt zu impersonifizieren. (Warum sage ich “direkt”? – Das sehen wir ein Stück weiter unten.) |
So, what for and how can we use those permissions on Server level?
IMPERSONATE ANY LOGIN
Do you remember the problem with CONTROL SERVER?
Now in SQL Server 2014, by introducing the permission IMPERSONATE ANY LOGIN, gives us ammunition to tackle this problem. - This Permission permits to impersonate any Login and User(!).
If we DENY this to the Principal with CONTROL SERVER permission, it prevents him from impersonating any Login directly. (Why do I say “directly”? – We’ll see a bit further down.) So let’s see how to prevent a Login with CONTROL SERVER from elevating privileges by impersonating another login with help of the new permission: |
USE [master]
GO
CREATE LOGIN DBA_TheDude WITH PASSWORD=N'www', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF
GO
CREATE SERVER ROLE [Role_DBA]
ALTER SERVER ROLE [Role_DBA]
ADD MEMBER DBA_TheDude
GRANT CONTROL SERVER TO [Role_DBA]
GO
DENY IMPERSONATE ANY LOGIN TO [Role_DBA]
GO
CREATE DATABASE ControlServer_Schema_Demo
GO
-- ====================
-- === Test
EXECUTE AS LOGIN = 'DBA_TheDude'
-- Attempt impersonation:
EXECUTE AS LOGIN = 'sa';
-->
Msg 15406, Level 16, State 1, Line 9
Cannot execute as the server principal because the principal "sa" does not exist, this type of principal cannot be impersonated, or you do not have permission.
//
Die Ausführung als Serverprinzipal ist nicht möglich, weil der Prinzipal 'sa' nicht vorhanden ist, für diesen Typ von Prinzipal kein Identitätswechsel möglich ist, oder Sie nicht die erforderliche Berechtigung haben.
USE ControlServer_Schema_Demo
EXECUTE AS USER = 'dbo';
-->
Msg 15517, Level 16, State 1, Line 15
Cannot execute as the database principal because the principal "dbo" does not exist, this type of principal cannot be impersonated, or you do not have permission.
//
Die Ausführung als Datenbankprinzipal ist nicht möglich, weil der Prinzipal 'dbo' nicht vorhanden ist, für diesen Typ von Prinzipal kein Identitätswechsel möglich ist, oder Sie nicht die erforderliche Berechtigung haben.
Hurra!(?) Privilege-Escalation-Risiko: Wirklich? Immer noch? |
Hooray!(?) Privilege-Escalation-risc: Really? Still?
Still we are running under the context of DBA_TheDude: |
USE master;
CREATE LOGIN UtilizeMe WITH PASSWORD=N'www', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF
GO
GRANT CONTROL SERVER TO UtilizeMe
GO
Wir können den Login “UtilizeMe” nicht impersonifizieren, aber wir können und einfach mit seinem Passwort anmelden! - Nebenbei ein weiterer Grund, SQL Authentifizierung nicht zu verwenden, da er ansonsten die Credentials eines validen Windows-Login’s finden müsste – viel schwieriger, als einfach seinen eigenen Backdoor-account anzulegen. |
We cannot Impersonate the “UtilizeMe” Login, but we can just Log On using his password! - Another reason to not use SQL authentication by the way, as he would then need to find a valid Windows-Login’s Credentials – much harder to just creating his own backdoor-account.
|
Um also unseren Administrator wirklich daran zu hindern, seine Privilegien zum Sysadmin zu erweitern, müssen wir auch mit DENY ALTER ANY LOGIN und ALTER ANY SERVER ROLE arbeiten. |
So in order to further prevent our Administrator from elevating privileges to sysadmin, we also need to work with DENY ALTER ANY LOGIN and ALTER ANY SERVER ROLE. |
Und kann DANN CONTROL SERVER endlich sicher verwendet werden? NEIN!
Tatsächlich gibt es noch ein paar andere Dinge, die man tun kann, um die Berechtigungen von einem CONTROL SERVER-berechtigten Konto zu erweitern. Etwas trickreicher vielleicht, aber ein Angreifer mit einem guten Wissen über SQL Server (ich spreche also nicht von „Raketenwissenschaft“), wird in der Lage sein soetwas durchzuführen. Mir ist bewusst, dass das “Separation of Duties in SQL Server 2014”-Whitepaper (Enthalten im Microsoft® SQL Server® 2014 Product Guide) die Kombination von GRANT CONTROL SERVER + DENY IMPERSONATE ANY tatschlich als Best Practice listet, aber dennoch…
Also, empfehle ich die Verwendung in irgendeiner Weise? Leider ist es jedoch weit davon entfernt, perfekt zu sein, und in Sicherhit-belangen, alles, was nicht lupenrein ist, ist ein Risiko. Wer das also anstelle von sa/sysadmin verwendet, verdient dennoch Applaus, da es zeigt, dass man sich kümmert und es wagt, Berechtigungen einzuschränken. |
Can we THEN finally use CONTROL SERVER completely safely?
NO!
In fact there are a few other things one can do to elevate permissions from a CONTROL SERVER-permitted account. More tricky in a way, but an attacker with some good knowledge about SQL Server (note, I am not saying “rocket-scientist”) will be able to do that. I am aware that the “Separation of Duties in SQL Server 2014”-Whitepaper (Contained in the Microsoft® SQL Server® 2014 Product Guide) does in fact list the combination of GRANT CONTROL SERVER + DENY IMPERSONATE ANY LOGIN as a best practice, but yet…
So do I recommend using it in any way? That is a hard question for me personally, as I would like to see much less people using/granting sa/sysadmin for daily tasks, and this permission had the potential to make an end to it. Unfortunately it is far from perfect, and in security-terms, anything not flawless, is a risk. But in terms of getting people away from using the highest privileges from the very beginning, I do see it as a step, since many may just not have the time and skills to break out of it. I do recommend using it in combination with some solid Auditing and alerts in place. |
SELECT ALL USER SECURABLES
Was sicherer ist, ist die Verwendung für eine Art Auditor, der ALLE Daten lesen (aber nicht ändern) können soll – ohne den Aufwand, in sämtlichen Nutzerdatenbanken Benutzer und Rechte zu vergeben. |
SELECT ALL USER SECURABLES
What’s more safe, is the use for an Auditor that needs to read ALL data, but not change it - without the effort of creating users and permissions in all user databases. |
CONNECT ANY DATABASE
Diese Berechtigung kann gut für Logins verwendet werden, die sich im Wesentlichen mit jeder Datenbank verbinden können and zum Beispiel Code Reviews durchführen sollen – indem man diese mit der VIEW ANY DEFINITION Berechtigung kombiniert. |
CONNECT ANY DATABASE
This permission can be used quite well for having logins that can basically connect to any database and for example do code reviews - by combining it with the VIEW ANY DEFINITION permission. |
Happy “Server controlling”,
Andreas
Print article | This entry was posted by Andreas Wolter on 2014-04-26 at 16:25:00 . Follow any responses to this post through RSS 2.0. |