Documente Academic
Documente Profesional
Documente Cultură
Objetivo de la evaluación
Personal contactado:
Liliana Lopera - Analista de Sistema (encargada de Administrar el SQL-2005)
Andrés García Londoño - Analista de Sistemas,
Ref # Control Objective Implication PwC Validation Procedure (Test Task) PwC Testing Results
(Point of Focus)
1.1 SQL User accounts are password Accounts that are non password Review the following file : Procedimiento Realizado
protected protected may allow malevolent person password_hashs.txt Con base en el archivo "DBsys_sqllogins.txt" que
to access to sensitive data. queda en la carpeta "Output" luego de ejecutado el script
If an account has the column “password” de sql, que se encuentra comprimido en el archivo
set to the NULL value then the account Output-RC.rar y que se anexa en la sección
is not password protected. Attachments; se identificó que las cuentas tienen el
passwprd protegido, si el campo “password” está
Validar que todas las cuentas tengan definido con valor "NULL" la cuenta no tiene el password
asignada una contraseña. protegido:
Sensitive tables containing confidential Estos privilegios fueron analizados con LIliana Lopera y
information should not be accessed by se concluyó que están debidamente otorgados.
unauthorized people.
Ver detalle de la prueba en el siguiente archivo.
Inquire with the database administrators
regarding accounts with privileged rights. Ver en el siguiente link, el archivo llamado
“sp_helprotect.xlsx”
Revise los permisos dados a todas las
cuentas chequeando los archivos Elaborado por: Carlos Diosa.
sp_helprotect. Los privilegios como Conclusión: Resultado satisfactorio.
“DELETE” ”, “UPDATE”, “DROP” o Excepciones: Ninguna identificada.
“INSERT” deberían ser restringidos solo
a cuentas autorizadas.
1.6 DBA role should be restricted to only The assignment of the DBA role to Review the syslogins.txt file and check Procedimiento Realizado
users who require such access. The unauthorized individuals increases the for every user their configuration Con base en los archivos "
DBA role is an administration role risk that unauthorized system regarding their rights on database roles DBserver_role_members.txt*" que quedan en la
created during the initial installation of commands will be issued and that (sysadmin, securityadmin, serveradmin, carpeta "Output" luego de ejecutado el script de sql, que
the database. This role is privileged. unauthorized access to objects (i.e. data setupadmin, processadmin, diskadmin, se encuentra en el archivo "Output-RC.rar" que se anexa
Anyone assigned to this role will have tables) will occur. dbcreator) en la sección Attachments; pude identificar las cuentas
virtually unlimited access to system and que tienen los derechos en la base de datos.
object resources. Revise el archivo syslogins.txt y
compruebe para cada usuario su Ver en el siguiente link, el archivo llamado “Analisis
Rol DBA debe limitarse configuración con respecto a sus
SQL VALORES (ENCUENTA).xlsx” la hoja
únicamente a los usuarios que “Permisos”
derechos sobre los roles de base
requieren el acceso. El rol DBA de datos (sysadmin, Elaborado por: Carlos Diosa.
es una función de administración securityadmin, serveradmin, Conclusión: Resultado satisfactorio.
creado durante la instalación setupadmin, processadmin, Excepciones: Ninguna identificada.
inicial de la base de datos. Este diskadmin, dbcreator)
papel es privilegiada. El
funcionario encargado de esta
función tendrá acceso
prácticamente ilimitado a los
recursos del sistema y el objeto.
1.7 The public role does not have too much As the public role is usable by every Review the rights of the public role by Procedimiento Realizado
privileged user connected on the database, a checking every sp_helprotect_ files and Con base en los archivos "sp_helprotect_ files.txt*"
malevolent person may be able to looking for the rights given to the public que quedan en la carpeta "Output" luego de ejecutado el
execute unauthorized actions due to an role in the “GRANTEE” column. script de sql, que se encuentra en el archivo "Output-
over privileged public role. Inquire with the database administrator if RC.rar" que se anexa en la sección Attachments; no se
the public role is given rights to tables or identificaron los privilegios otorgados al Rol PUBLIC:
data.
En cada uno de los siguientes archivos sp_helprotect_
Revise los derechos del rol public files:
chequeando todos los archivos
sp_helprotect y verifique los permisos IDB02sys_database_permissions_DbA2Seguridad
dados al rol public en la columna IDB02sys_database_permissions_dbEncuenta
“Grantee”. IDB02sys_database_permissions_dbOyDBUSDAT
IDB02sys_database_permissions_DbUtilidadesEncuenta
Indague con el administrador de la base IDB02sys_database_permissions_master
de datos si el rol public es dado a tablas IDB02sys_database_permissions_model
o a los datos. IDB02sys_database_permissions_msdb
IDB02sys_database_permissions_tempdb
1. Hable con el administrador si En la tabla anterior pude observa que el nivel de Auditoría se
se está utilizando la función de encuentra configura para auditar los eventos fallidos.
auditoría en SQL Server 2005.
Tomar evidencia. Ver en el siguiente link, el archivo llamado “Analisis SQL
VALORES (ENCUENTA).xlsx” la hoja “Login Mode”
2. Compruebe el archivo audit.txt Elaborado por: Carlos Diosa.
y verificar el valor del parámetro Conclusión: Resultado satisfactorio.
de auditoría. Este parámetro Excepciones: Ninguna identificada.
controla el registro de auditoría
de conexión, no el acceso o la
modificación de datos. Un valor
correcto puede ser "todos".
2.2 Reports are run to determine last login Profiles that have not been utilized 1. Determine the procedure used for Procedimiento Realizado
dates. recently may be targeted by reviewing inactive profiles. Ver trabajo de validación de cambio de contraseñas en el
unauthorized users to break into the Checklist seguridad plataforma Windows en >>>
system. 2. As SQL server lacks of “last login”
information, two options are available : Ver en el siguiente link, el archivo llamado “EVALUACIÓN DE
- SQL users managed by Active LA SEGURIDAD DE LA PLATAFORMA WINDOWS (VALORES -
Directory: check on the Active Directory ENCUENTA).docx”.
for their last login date.
- SQL users managed by SQL Server:
check the dormantpassword.txt file to
verify which users did not changed their
password since 60 days. Inquire with the
database administrator if passwords are
regularly changed.
1. Determinar el procedimiento
utilizado para la revisión de
perfiles inactivos.
Database Configuration
Ref # Control Objective Implication PwC Validation Procedure (Test Task) PwC Testing Results
(Point of Focus)
3.1 Stored procedures and extended stored A malevolent person may use a stored Check the sp_helprotect_master.txt Procedimiento Realizado
procedures are restricted procedure to execute unauthorized file and verify that the following stored Con base en el archivo " IDB05sys_all_objects_master.txt" que
actions. procedures are not available to the queda en la carpeta "Output" luego de ejecutado el script de sql; se
public role : verificó que no existieran los stored procedures para el rol public.
sp_add_job, sp_start_job, Al verificar el archivo no se encontraron los stred procedure.
sp_addwebtask, sp_readwebtask ,
sp_GetMBCSCharLen, Ver en el siguiente link, el archivo llamado “Analisis SQL
sp_IsMBCSLeadByte, sp_OACreate, VALORES (ENCUENTA).xlsx” la hoja “stored procedures”
sp_OADestroy , sp_OAGetErrorInfo
sp_OAGetProperty sp_OAMethod, Elaborado por: Carlos Diosa.
sp_OASetPropertysp_OAStop, Conclusión: Resultado satisfactorio.
sp_replcmds, sp_replcounters, Excepciones: Ninguna identificada.
sp_repldone, sp_replflush,
sp_replstatus, sp_repltrans,
sp_sdidebug, xp_availablemedia
xp_cmdshell, xp_deletemail, xp_dirtree
xp_dropwebtask, xp_dsninfo,
xp_enumdsn xp_enumerrorlogs,
xp_enumqueuedtasks, xp_eventlog,
xp_findnextmsg, xp_fixeddrives,
xp_getfiledetails, xp_getnetname
xp_logevent, xp_makewebtask,
xp_msver, xp_perfend, xp_perfmonitor,
xp_perfsample, xp_perfstart,
xp_readerrorlog, xp_readmail,
xp_regaddmultistring, xp_regdeletevalue
xp_regenumvalues, xp_regread,
xp_regremovemultistring, xp_regwrite,
xp_runwebtask, xp_schedulersignal,
xp_sendmail, xp_servicecontrol,
xp_snmp_getstate, xp_snmp_raisetrap,
xp_sprintf, xp_sqlregister, xp_sqltrace,
xp_ sscanf, xp_startmail, xp_stopmail,
xp_subdirs xp_unc_to_drive
Compruebe el archivo
sp_helprotect_master.txt y
verifique que los siguientes
procedimientos almacenados no
están disponibles para el rol
public:
sp_add_job, sp_start_job,
sp_addwebtask, sp_readwebtask,
sp_GetMBCSCharLen,
sp_IsMBCSLeadByte,
sp_OACreate, sp_OADestroy,
sp_OAGetErrorInfo
sp_OAGetProperty
sp_OAMethod,
sp_OASetPropertysp_OAStop,
sp_replcmds, sp_replcounters,
sp_repldone, sp_replflush,
sp_replstatus, sp_repltrans,
sp_sdidebug, xp_availablemedia
xp_cmdshell, xp_deletemail,
xp_dirtree xp_dropwebtask,
xp_dsninfo, xp_enumerrorlogs
xp_enumdsn,
xp_enumqueuedtasks ,
xp_eventlog, xp_findnextmsg,
xp_fixeddrives, xp_getfiledetails,
xp_getnetname xp_logevent,
xp_makewebtask, xp_msver,
xp_perfend, xp_perfmonitor,
xp_perfsample, xp_perfstart,
xp_readerrorlog, xp_readmail
xp_regaddmultistring,
xp_regdeletevalue
xp_regenumvalues, xp_regread,
xp_regremovemultistring,
xp_regwrite, xp_runwebtask,
xp_schedulersignal, xp_sendmail,
xp_servicecontrol,
xp_snmp_getstate,
xp_snmp_raisetrap , xp_sprintf,
xp_sqlregister, xp_sqltrace, xp_
sscanf, xp_startmail, xp_stopmail,
xp_subdirs xp_unc_to_drive
3.2 The Server Configuration option should ‘Allow Updates to System Catalogs’ is Check the sysconfigure.txt file and Procedimiento Realizado
be set to NOT ALLOW direct updates to an option that determines whether verify that the “Auto Update” setting has Con base en el archivo " DBsys_configurations.txt " que queda en
system tables. updates, deletes, or inserts can be a “0” value. la carpeta "Output" luego de ejecutado el script de sql; se verificó que
executed directly on system tables. If the el parámetro de configuración Allow Updates" se encuentra definido
option is turned off, the only changes Compruebe el archivo con el valor cero (0), tal como lo recomiendan las mejores prácticas.
that can be made to the system tables sysconfigure.txt y verifique que la
are through stored procedures that were El parámetro allow updates se encuentra configurado de la siguiente
created when the setting was on. opción "actualización automática" forma:
tiene un valor "0".
configuration_id 102
name allow updates
value 0
minimum 0
maximum 1
value_in_use 0
description Allow updates to system tables
verificar que ninguna de las Base Las bases de datos existentes son:
de datos predeterminadas (pubs IDB02sys_database_permissions_DbA2Seguridad
y Northwind) estén presentes en IDB02sys_database_permissions_dbEncuenta
el ambiente de producción IDB02sys_database_permissions_dbOyDBUSDAT
IDB02sys_database_permissions_DbUtilidadesEncuenta
IDB02sys_database_permissions_master
IDB02sys_database_permissions_model
IDB02sys_database_permissions_msdb
IDB02sys_database_permissions_tempdb
Control Objective
Ref #
(Point of Focus)
Implication PwC Validation Procedure (Test Task) PwC Testing Results
4.1 Microsoft SQL Server 2005/2008 Without the latest security patches, a 1. Determine the SQL Server database Procedimiento Realizado
databases should be running with the malevolent person may be able to version by checking the dbnm.txt file. Con base en el archivo " DBname.txt" que queda en la carpeta
latest security patches (service packs) exploit a vulnerability to access with Verify that this is version is up-to-date "Output" luego de ejecutado el script de sql; se verificó la versión del
privileged rights to the database or to and is not subject to security flaws. servidor de la base de datos SQL..
execute a denial of service attack on the
database 1. Determine la versión de base La siguiente tabla contiene la versión y el nivel de actualización de los
de datos SQL Server mediante la parches, no se encontraron inconsistencias:
comprobación del archivo
dbnm.txt. Compruebe que este
es versión está actualizada y no
está sujeto a fallas de seguridad.
Control Objective
Ref #
(Point of Focus)
Implication PwC Validation Procedure (Test Task) PwC Testing Results
5.1 Improper configuration of the Everyone A malevolent person may use improper Verify that the following registry key Procedimiento Realizado
group, providing access to certain registry rights configuration to access to HKEY_LOCAL_MACHINE\Software\Mic Con base en el archivo "11_permissions_registry" que queda en la
registry keys sensitive data. rosoft\MSSQLServer and all the sub- carpeta "Output" luego de ejecutado el script de windows (Ver en el
directory keys are not accessible to the siguiente link, el archivo llamado “CHECKLIST SEGURIDAD
Everyone group. PLATAFORMA WINDOWS RENTING - SU NEGOCIO - Servidor
Miembro.docx”); se verificó que el grupo Everyone no tuviera
Compruebe que la siguiente acceso a:
clave del registro
A HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer
HKEY_LOCAL_MACHINE \ Todos los sub-directorios claves
Software \ Microsoft \
MSSQLServer y todos los sub- encontrando resultados satisfactorios.
directorios claves no son
accesibles para el grupo Todos. Ver detalle de la prueba en la hoja "5_1_permissions_registry" del
archivo "Analisis SQL SERVER.xlsx" del anexo Nro. 3 de la sección
Attachments.
Se encontraron privilegios otorgados al Rol PUBLIC sobre objetos con derecho de Delete, Insert o Update sobre los siguientes objetos: dtproperties (Database context to 'UnoEE') y tblMerCostos (Database
context to 'dbSurenting)
Se encontraron Stored y extended stored procedures disponibles para el rol public que no se recomienda ya que permite que usuarios no autorizados tengan acceso a ellos.
CONCLUSIÓN
Ver recomendaciones emitidas en carta de control en >>> [ Notes Link ]
Se efectuó reunión de TSM (Taking Stock Meeting - Evaluación de los resultados del trabajo de SPA - ITGC) para dar disposición a cada una de las recomendaciones emitidas al cliente. Ver en >>>
[ Notes Link ]
Se realizó diligenciamiento de la matriz SAD (Summary of Aggregated Deficiencies (SAD) - ITGC) para las principales deficiencias detectadas. Ver resultados en >>> [ Notes Link ] .
Attachments: