|
|
Thema: |
Access 2000 únd 2002 |
Problem: |
Die "MSDE" (Microsoft Database Engine,
basierend auf SQL-Server 7) von Office 2000 und der "SQL
Desktop Server" von Office XP (basierend auf SQL-Server 2000)
verfügen nach der Installation über einen Standardaccount ohne Passwort.
Wie kann man diese Sicherheitslücke schliessen? |
Lösung: |
Sowohl die MSDE als auch der Desktop Server
verwenden für den Zugriff unter anderem das TCP/IP-Protokoll, das
auch für Internet-Verbindungen zum Einsatz kommt. Mit sogenannten
"Portscans" können Hacker über die Internet-Verbindung
feststellen, ob MSDE oder Desktop Server laufen und sich über den
ungeschützten Standard-Account "sa" Zugang zu sensiblen
Daten verschaffen. Im Gegensatz zum "richtigen" SQL-Server
werden bei der MSDE und dem Desktop Server keine unter Windows
laufenden Management-Tools zur einfachen Änderung der Konfiguration
zur Verfügung gestellt.
Sie finden aber im Unterverzeichnis "Binn" des MSDE/Desktop
Server-Installationsverzeichnisses (zum Beispiel Office 2000:
"C:\MSSQL7\Binn", Office XP: "\Programme\Microsoft
SQL Server\80\Tools\Binn) einige Kommandozeilen-Tools für die
Verwaltung. Unter anderem lässt sich über "osql.exe" der
Standard-Zugang mit einem Passwort versehen und so ein Zugriff von
aussen über den ungeschützten Account verhindern. Öffnen Sie dazu
ein DOS-Fenster, wechseln Sie in das "Binn"-Verzeichnis
und geben Sie folgende Anweisung ein:
osql -U sa -Q "sp_password NULL, 'Neues_Passwort'"
Diese Anweisung setzt das Passwort für den Account "sa"
auf das als "Neues_Passwort" angegebene Passwort. |
|