EVALUACIÓN DE LA SEGURIDAD DE LA BASE DE DATOS SQL - SERVER

Objetivo de la evaluación

 Evaluar la seguridad de la Base de datos a través de los parámetros de seguridad.

 Evaluar el acceso a la BD a través de los permisos otorgados a los directorios del sistema, utilitarios sensibles y conexiones con otros servidores
 Evaluar los perfiles de acceso al sistema y parámetros de contraseña.
 Detectar debilidades y emitirlas al cliente a través de carta de control interno.

Personal contactado:
 Liliana Lopera - Analista de Sistema (encargada de Administrar el SQL-2005)
 Andrés García Londoño - Analista de Sistemas,

Fecha de realización del trabajo:

Ejecución del script: XX de XX de XX
Análisis: 02 de Mayo de 2012

Alcance del Trabajo:

I. Dicha evaluación se realizó para la BD SQL que soporta el aplicativo Encuenta y SQL y que se encuentra instalada en el servidor >> SVMDEBBD04
II. No se ejecutó el checklist al 100%, se consideraron los aspectos más críticos a nivel de base de datos puesto que la seguridad se encuentra establecida a nivel del aplicativo y no a nivel de base de
datos y adicionalmente se encuentran integrada la seguridad del servidor de base de datos con la seguridad del controlador de dominio y el cual fue evaluado en un 100%.
III. La obtención de la información se hizo a través de ejecución de script, entrevista y pruebas en línea con el Administrador de Base de Datos.

Información suministrada por el cliente

En el archivo adjunto en la sección Attachments Anexo N°1, se encuentra la información generada mediante la ejecución del script.

Trabajo realizado por:

Carlos Diosa.

User Management and Password Policy

Ref # Control Objective Implication PwC Validation Procedure (Test Task) PwC Testing Results
(Point of Focus)
1.1 SQL User accounts are password Accounts that are non password Review the following file : Procedimiento Realizado
protected protected may allow malevolent person password_hashs.txt Con base en el archivo "DBsys_sqllogins.txt" que
to access to sensitive data. queda en la carpeta "Output" luego de ejecutado el script
If an account has the column “password” de sql, que se encuentra comprimido en el archivo
set to the NULL value then the account Output-RC.rar y que se anexa en la sección
is not password protected. Attachments; se identificó que las cuentas tienen el
passwprd protegido, si el campo “password” está
Validar que todas las cuentas tengan definido con valor "NULL" la cuenta no tiene el password
asignada una contraseña. protegido:

El archivo fue convertido a un archivo de excel para


1.2 The Windows integrated authentication
mode should be used to authenticate
users accessing SQL Server 2005
------------------------
El modo de Autenticación Integrada de
Windows debe usarse para autenticar a
usuarios que acceden el SQL Servidor
2005
SQL Server 2005 do not allow to set up
restricted policies regarding user
authentication such as account lockout
or password policy (unless on Windows
2003 using SQL Server 2005 where a
special configuration can be enabled)
------------------
SQL SERVER 2005 no permite definir
las políticas de restrinción tales como
bloqueo de cuentas (account lockout ) o
políticas de contraseña (a menos que en
Windows 2003 usando SQL SERVER
2005 donde una configuración especial
puede habilitarse)
Verify the value of the “login_mode”
parameter in the audit.txt file.
“mixed” represents SQL and Windows
authentication while “Windows NT”
represents Windows authentication.
Verifique el valor del parámetro
"login_mode" en el archivo
audit.txt.
"Mixto" representa la
autenticación de SQL y Windows,
mientras que "Windows NT"
representa la autenticación de
Windows.
facilitar su analisis, y como se puede observar en la
columna "N" donde está el campo "password_hash",
ninguna cuenta tiene definido el valor "NULL" o en
blanco.
Ver en el siguiente link, el archivo llamado “Analisis
SQL VALORES (ENCUENTA).xlsx” la hoja
“password_hashs”
Elaborado por: Carlos Diosa.
Conclusión: Resultado satisfactorio.
Excepciones: Ninguna identificada.
Procedimiento Realizado
Con base en el archivo " DBxp_loginconfig.txt" que
queda en la carpeta "Output" luego de ejecutado el script
de sql, que se encuentra comprimido en el archivo
Output-RC.rar y que se anexa en la sección
Attachments; se verificó el tipo de autenticación definida.
name config_value
login mode Mixed
default login guest
default domain SURENTING
audit level failure
set hostname false
map _ domain separator
map $ NULL
map # -
En la tabla anterior pude observa que el modo de
autenticación esta definido como Mixed.lo cual quiere
decir la uatenticación es mixta (SQL y Windows). Se
recomienda usar “Windows NT authentication” ya que
permite implementar politicas de control de acceso más
fuertes y centralizar la administración de las cuentas.
Ver en el siguiente link, el archivo llamado “Analisis
SQL VALORES (ENCUENTA).xlsx” la hoja “Login
Mode”
En reunión Liliana Lópera, pude verificar la razón por la
cual se encuentra este parámetro configurado de esta
forma, en correo enviado por Liliana se observa :
"El modo de autenticación de SQL siempre lo hemos
tenido en Mixto (Mixed) pues tenemos algunas

1.3 Windows “Domain Admins” or
“Administrators” users groups should not
access to SQL Server.
1.4 All user ID's should be unique and
should identify a single user; User IDs
should adhere to the corporate standard
naming convention.
Default installation allows the Active
Directory group “Domain Admins” and
the local administrator group
“Administrators” to access, as a
database administrator, to the SQL
Server.
All accounts should adhere to the
corporate standard naming convention.
This allows for accountability for actions
executed within the database.
1. Inquire with the database
administrator to ensure how the
database is managed.
2. Check the syslogins.txt file and
verify that “BUILTIN\Administrators” and
“DOMAIN NAME\Domain Admins” (with
DOMAIN NAME the name of the Active
Directory domain) are not present.
1. Consulte con el administrador
de base de datos para
asegurarse de cómo se gestiona
la base de datos.
2. Compruebe el archivo
syslogins.txt y verifique que
"BUILTIN \ Administrators" y
"NOMBRE DE DOMINIO \
Domain Admins" (con Nombres
de Dominios en el nombre del
dominio de Active Directory) no
están presentes.
Ensure that generic id’s do not exist. All
user id’s should be unique and identify
every user.
Asegurese que los ID’s genericos no
existan. Todos los ID’s de usuarios
deberían ser únicos y pertenecer a un
solo usuario.
aplicaciones que funcionan con usuarios SQL propios,
en si es el caso de las aplicaciones UnoEE que tiene un
usuario llamado unoee, Docuware cuyo usuario es
DWAdmin, la clave de estos usuarios se encuentra en
custodia en la caja fuerte"
Ver correo en >>> [Notes Link]
Elaborado por: Carlos Diosa.
Conclusión: Resultado satisfactorio.
Excepciones: Ninguna identificada.
Procedimiento Realizado
Con base en el archivo " DBsys_server_principals.txt"
que queda en la carpeta "Output" luego de ejecutado el
script de sql, que se encuentra comprimido en el archivo
Output-RC.rar y que se anexa en la sección
Attachments; se verificó el acceso de las cuentas
“BUILTIN\Administrators” and “DOMAIN NAME\Domain
Admins”a la base de datos..
Al observar este archivo pude observar que estas
cuentas tienen acceso,
name
BUILTIN\Administrators
Ver en el siguiente link, el archivo llamado “Analisis
SQL VALORES (ENCUENTA).xlsx” la hoja “Cuenta”
Sin embargo en reunión con Liliana Loópera pude
observar que estos cuentas no tienen asignado ningún
tipo de permisos o rol.
Ver correo en >>> [Notes Link]
Elaborado por: Carlos Diosa.
Conclusión: Resultado satisfactorio.
Excepciones: Ninguna identificada.
Procedimiento Realizado
Con base en el archivo " DBsys_sqllogins.txt" que
queda en la carpeta "Output" luego de ejecutado el script
de sql, que se encuentra en el archivo Output-RC.rar y
que se anexa en la sección Attachments; pude
identificar que cada id es único para los usuario y no
existen usuarios que compartan Id.
Ver detalle de la prueba en el punto 1.1

1.5 Permissions on data are restricted so
that integrity is assured.
1.6 DBA role should be restricted to only
users who require such access. The
DBA role is an administration role
created during the initial installation of
the database. This role is privileged.
Anyone assigned to this role will have
virtually unlimited access to system and
object resources.
Rol DBA debe limitarse
únicamente a los usuarios que
requieren el acceso. El rol DBA
es una función de administración
creado durante la instalación
inicial de la base de datos. Este
papel es privilegiada. El
funcionario encargado de esta
función tendrá acceso
A malevolent person may use an over-
privileged account to execute
unauthorized actions.
The assignment of the DBA role to
unauthorized individuals increases the
risk that unauthorized system
commands will be issued and that
unauthorized access to objects (i.e. data
tables) will occur.
Review the permissions given to every
account by checking every
sp_helprotect_ files. Privileged rights
such as “DELETE”, “UPDATE”, “DROP”
or “INSERT” should be restricted to
authorized accounts only.
Sensitive tables containing confidential
information should not be accessed by
unauthorized people.
Inquire with the database administrators
regarding accounts with privileged rights.
Revise los permisos dados a todas las
cuentas chequeando los archivos
sp_helprotect. Los privilegios como
“DELETE” ”, “UPDATE”, “DROP” o
“INSERT” deberían ser restringidos solo
a cuentas autorizadas.
Review the syslogins.txt file and check
for every user their configuration
regarding their rights on database roles
(sysadmin, securityadmin, serveradmin,
setupadmin, processadmin, diskadmin,
dbcreator)
Revise el archivo syslogins.txt y
compruebe para cada usuario su
configuración con respecto a sus
derechos sobre los roles de base
de datos (sysadmin,
securityadmin, serveradmin,
setupadmin, processadmin,
diskadmin, dbcreator)
Ver en el siguiente link, el archivo llamado “Analisis
SQL VALORES (ENCUENTA).xlsx” la hoja
“password_hashs”
Elaborado por: Carlos Diosa.
Conclusión: Resultado satisfactorio.
Excepciones: Ninguna identificada.
Procedimiento Realizado
Con base en los archivos "sp_helprotect_*" que quedan
en la carpeta "Output" luego de ejecutado el script de
sql; pude identificar los derechos otorgados a las
cuentas de realizar “DELETE”, “UPDATE”, “DROP” o
“INSERT” sobre las tablas.
Estos privilegios fueron analizados con LIliana Lopera y
se concluyó que están debidamente otorgados.
Ver detalle de la prueba en el siguiente archivo.
Ver en el siguiente link, el archivo llamado
“sp_helprotect.xlsx”
Elaborado por: Carlos Diosa.
Conclusión: Resultado satisfactorio.
Excepciones: Ninguna identificada.
Procedimiento Realizado
Con base en los archivos "
DBserver_role_members.txt*" que quedan en la
carpeta "Output" luego de ejecutado el script de sql, que
se encuentra en el archivo "Output-RC.rar" que se anexa
en la sección Attachments; pude identificar las cuentas
que tienen los derechos en la base de datos.
Ver en el siguiente link, el archivo llamado “Analisis
SQL VALORES (ENCUENTA).xlsx” la hoja
“Permisos”
Elaborado por: Carlos Diosa.
Conclusión: Resultado satisfactorio.
Excepciones: Ninguna identificada.
 prácticamente ilimitado a los
recursos del sistema y el objeto.
1.7 The public role does not have too much
privileged
1.8 The guest user should be disabled.
As the public role is usable by every
user connected on the database, a
malevolent person may be able to
execute unauthorized actions due to an
over privileged public role.
The guest user has access to the
PUBLIC role which often has over-
privileged rights.
Review the rights of the public role by
checking every sp_helprotect_ files and
looking for the rights given to the public
role in the “GRANTEE” column.
Inquire with the database administrator if
the public role is given rights to tables or
data.
Revise los derechos del rol public
chequeando todos los archivos
sp_helprotect y verifique los permisos
dados al rol public en la columna
“Grantee”.
Indague con el administrador de la base
de datos si el rol public es dado a tablas
o a los datos.
Review the syslogins.txt file and check
the presence of the “guest” user.
Revise que el usaurio Guest se
encuentre deshabilitado.
Procedimiento Realizado
Con base en los archivos "sp_helprotect_ files.txt*"
que quedan en la carpeta "Output" luego de ejecutado el
script de sql, que se encuentra en el archivo "Output-
RC.rar" que se anexa en la sección Attachments; no se
identificaron los privilegios otorgados al Rol PUBLIC:
En cada uno de los siguientes archivos sp_helprotect_
files:
IDB02sys_database_permissions_DbA2Seguridad
IDB02sys_database_permissions_dbEncuenta
IDB02sys_database_permissions_dbOyDBUSDAT
IDB02sys_database_permissions_DbUtilidadesEncuenta
IDB02sys_database_permissions_master
IDB02sys_database_permissions_model
IDB02sys_database_permissions_msdb
IDB02sys_database_permissions_tempdb
Ver en el siguiente link, el archivo llamado
“sp_helprotect.xlsx”
Elaborado por: Carlos Diosa.
Conclusión: Resultado satisfactorio.
Excepciones: Ninguna identificada.
Procedimiento Realizado
Con base en los archivos "
DBsys_server_principals.txt *" que quedan en la
carpeta "Output" luego de ejecutado el script de sql, que
se encuentra en el archivo "Output-RC.rar" que se anexa
en la sección Attachments; pude verificar que No existe
el usuario GUEST.
Ver detalle de la prueba 1,1 de esta matriz.
Ver en el siguiente link, el archivo llamado “Analisis
SQL VALORES (ENCUENTA).xlsx xlsx” la hoja
“Usuarios”
Elaborado por: Carlos Diosa.
Conclusión: Resultado satisfactorio.
Excepciones: Ninguna identificada.
Audit policy
Ref # Control Objective Implication
(Point of Focus)
2.1 Auditing of user access is enabled and The absence of recording important
monitored on a regular basis events in the database increases the
risk that unauthorized system actions,
such as deleting or modifying sensitive
data, or access attempts may not be
identified and resolved in a timely
manner. Further, auditing can be useful
for gathering historical data for particular
database activities.
2.2 Reports are run to determine last login Profiles that have not been utilized
dates. recently may be targeted by
unauthorized users to break into the
system.
PwC Validation Procedure (Test Task) PwC Testing Results
1. Discuss with the administrator if the Procedimiento Realizado
audit function within SQL Server 2005 Con base en el archivo "DBxp_loginconfig.txt" que queda en la
is being utilized, through for instance carpeta "Output" luego de ejecutado el script de sql, que se encuentra
SQL profiler comprimido en el archivo Output-RC.rar y que se anexa en la sección
Attachments; se verificó el tipo de autenticación definida.
2. Check the audit.txt file and verify the
value of the audit parameter. This
parameter controls the connection name config_value
audit trail, not access or modification to login mode Mixed
data. A correct value may be “all”. default login guest
default domain SURENTING
3. Discuss with the database audit level failure (Fallos)
administrator on the means set hostname false
implemented to trace user actions on
map _ domain separator
data.
map $ NULL
map # -
1. Hable con el administrador si En la tabla anterior pude observa que el nivel de Auditoría se
se está utilizando la función de encuentra configura para auditar los eventos fallidos.
auditoría en SQL Server 2005.
Tomar evidencia. Ver en el siguiente link, el archivo llamado “Analisis SQL
VALORES (ENCUENTA).xlsx” la hoja “Login Mode”
2. Compruebe el archivo audit.txt Elaborado por: Carlos Diosa.
y verificar el valor del parámetro Conclusión: Resultado satisfactorio.
de auditoría. Este parámetro Excepciones: Ninguna identificada.
controla el registro de auditoría
de conexión, no el acceso o la
modificación de datos. Un valor
correcto puede ser "todos".
3. Hable con el administrador de
la base de datos sobre los
medios empleados para rastrear
las acciones del usuario sobre los
datos.
1. Determine the procedure used for Procedimiento Realizado
reviewing inactive profiles. Ver trabajo de validación de cambio de contraseñas en el
Checklist seguridad plataforma Windows en >>>
2. As SQL server lacks of “last login”
information, two options are available : Ver en el siguiente link, el archivo llamado “EVALUACIÓN DE
 - SQL users managed by Active LA SEGURIDAD DE LA PLATAFORMA WINDOWS (VALORES -
Directory: check on the Active Directory ENCUENTA).docx”.
for their last login date.
- SQL users managed by SQL Server:
check the dormantpassword.txt file to
verify which users did not changed their
password since 60 days. Inquire with the
database administrator if passwords are
regularly changed.

1. Determinar el procedimiento
utilizado para la revisión de
perfiles inactivos.

2. Como SQL Server carece de

"último acceso" información, hay
dos opciones disponibles:
  - Los usuarios de SQL que
gestiona Active Directory:
Verifican el Active Directory para
su última fecha de acceso.
  - Los usuarios de SQL
gestionados por SQL Server:
comprobar el archivo
dormantpassword.txt para
verificar que los usuarios no
cambian sus contraseñas desde
hace 60 días. Consulte con el
administrador de base de datos si
las contraseñas se cambian
regularmente.

Database Configuration

Ref # Control Objective Implication PwC Validation Procedure (Test Task) PwC Testing Results
(Point of Focus)
3.1 Stored procedures and extended stored A malevolent person may use a stored Check the sp_helprotect_master.txt Procedimiento Realizado
procedures are restricted procedure to execute unauthorized file and verify that the following stored Con base en el archivo " IDB05sys_all_objects_master.txt" que
actions. procedures are not available to the queda en la carpeta "Output" luego de ejecutado el script de sql; se
public role : verificó que no existieran los stored procedures para el rol public.
sp_add_job, sp_start_job, Al verificar el archivo no se encontraron los stred procedure.
sp_addwebtask, sp_readwebtask ,
sp_GetMBCSCharLen, Ver en el siguiente link, el archivo llamado “Analisis SQL
sp_IsMBCSLeadByte, sp_OACreate, VALORES (ENCUENTA).xlsx” la hoja “stored procedures”
sp_OADestroy , sp_OAGetErrorInfo
sp_OAGetProperty sp_OAMethod, Elaborado por: Carlos Diosa.
sp_OASetPropertysp_OAStop, Conclusión: Resultado satisfactorio.
sp_replcmds, sp_replcounters, Excepciones: Ninguna identificada.
sp_repldone, sp_replflush,
sp_replstatus, sp_repltrans,
sp_sdidebug, xp_availablemedia
xp_cmdshell, xp_deletemail, xp_dirtree
xp_dropwebtask, xp_dsninfo,
xp_enumdsn xp_enumerrorlogs,
xp_enumqueuedtasks, xp_eventlog,
xp_findnextmsg, xp_fixeddrives,
xp_getfiledetails, xp_getnetname
xp_logevent, xp_makewebtask,
xp_msver, xp_perfend, xp_perfmonitor,
xp_perfsample, xp_perfstart,
xp_readerrorlog, xp_readmail,
xp_regaddmultistring, xp_regdeletevalue
xp_regenumvalues, xp_regread,
xp_regremovemultistring, xp_regwrite,
xp_runwebtask, xp_schedulersignal,
xp_sendmail, xp_servicecontrol,
xp_snmp_getstate, xp_snmp_raisetrap,
xp_sprintf, xp_sqlregister, xp_sqltrace,
xp_ sscanf, xp_startmail, xp_stopmail,
xp_subdirs xp_unc_to_drive

Compruebe el archivo
sp_helprotect_master.txt y
verifique que los siguientes
procedimientos almacenados no
están disponibles para el rol
public:

sp_add_job, sp_start_job,
sp_addwebtask, sp_readwebtask,
sp_GetMBCSCharLen,
sp_IsMBCSLeadByte,
sp_OACreate, sp_OADestroy,
 sp_OAGetErrorInfo
sp_OAGetProperty
sp_OAMethod,
sp_OASetPropertysp_OAStop,
sp_replcmds, sp_replcounters,
sp_repldone, sp_replflush,
sp_replstatus, sp_repltrans,
sp_sdidebug, xp_availablemedia
xp_cmdshell, xp_deletemail,
xp_dirtree xp_dropwebtask,
xp_dsninfo, xp_enumerrorlogs
xp_enumdsn,
xp_enumqueuedtasks ,
xp_eventlog, xp_findnextmsg,
xp_fixeddrives, xp_getfiledetails,
xp_getnetname xp_logevent,
xp_makewebtask, xp_msver,
xp_perfend, xp_perfmonitor,
xp_perfsample, xp_perfstart,
xp_readerrorlog, xp_readmail
xp_regaddmultistring,
xp_regdeletevalue
xp_regenumvalues, xp_regread,
xp_regremovemultistring,
xp_regwrite, xp_runwebtask,
xp_schedulersignal, xp_sendmail,
xp_servicecontrol,
xp_snmp_getstate,
xp_snmp_raisetrap , xp_sprintf,
xp_sqlregister, xp_sqltrace, xp_
sscanf, xp_startmail, xp_stopmail,
xp_subdirs xp_unc_to_drive

3.2 The Server Configuration option should
be set to NOT ALLOW direct updates to
system tables.
‘Allow Updates to System Catalogs’ is
an option that determines whether
updates, deletes, or inserts can be
executed directly on system tables. If the
option is turned off, the only changes
that can be made to the system tables
are through stored procedures that were
created when the setting was on.
Check the sysconfigure.txt file and
verify that the “Auto Update” setting has
a “0” value.
Compruebe el archivo
sysconfigure.txt y verifique que la
opción "actualización automática"
Procedimiento Realizado
Con base en el archivo " DBsys_configurations.txt " que queda en
la carpeta "Output" luego de ejecutado el script de sql; se verificó que
el parámetro de configuración Allow Updates" se encuentra definido
con el valor cero (0), tal como lo recomiendan las mejores prácticas.
El parámetro allow updates se encuentra configurado de la siguiente
forma:
 tiene un valor "0".
configuration_id 102
name  allow updates 
value 0
minimum 0
maximum 1
value_in_use 0
description  Allow updates to system tables 

Ver en el siguiente link, el archivo llamado “Analisis SQL

VALORES (ENCUENTA).xlsx” la hoja “sysconfigure”

Elaborado por: Carlos Diosa.

3.3 Default database (pubs and Northwind)
present in production environment
A malevolent person may be able to
exploit a vulnerability present in one of
the default database.
Check the presence of one of the
following files : sp_helprotect_pub.txt
or sp_helprotect_Northwind.txt
If present, default SQL Server database
are present.
Conclusión: Resultado satisfactorio.
Excepciones: Ninguna identificada.
Procedimiento Realizado
Con base en los archivos "sp_helprolemember_*" que quedan en la
carpeta "Output" luego de ejecutado el script de sql; se verificó que
las siguientes bases de datos por defecto no existieran.
sp_helprotect_pub.txt
sp_helprotect_Northwind.txt

verificar que ninguna de las Base
de datos predeterminadas (pubs
y Northwind) estén presentes en
el ambiente de producción
Las bases de datos existentes son:
IDB02sys_database_permissions_DbA2Seguridad
IDB02sys_database_permissions_dbEncuenta
IDB02sys_database_permissions_dbOyDBUSDAT
IDB02sys_database_permissions_DbUtilidadesEncuenta
IDB02sys_database_permissions_master
IDB02sys_database_permissions_model
IDB02sys_database_permissions_msdb
IDB02sys_database_permissions_tempdb

Ninguno corresponde a un usuario final.

Elaborado por: Carlos Diosa.

Conclusión: Resultado satisfactorio.
Excepciones: Ninguna identificada.
Microsoft SQL Server Version and Patches

Control Objective
Ref #
(Point of Focus)
Implication PwC Validation Procedure (Test Task) PwC Testing Results
4.1 Microsoft SQL Server 2005/2008
databases should be running with the
latest security patches (service packs)
Without the latest security patches, a
malevolent person may be able to
exploit a vulnerability to access with
privileged rights to the database or to
execute a denial of service attack on the
database
1. Determine the SQL Server database
version by checking the dbnm.txt file.
Verify that this is version is up-to-date
and is not subject to security flaws.
1. Determine la versión de base
de datos SQL Server mediante la
comprobación del archivo
dbnm.txt. Compruebe que este
es versión está actualizada y no
está sujeto a fallas de seguridad.
Procedimiento Realizado
Con base en el archivo " DBname.txt" que queda en la carpeta
"Output" luego de ejecutado el script de sql; se verificó la versión del
servidor de la base de datos SQL..
La siguiente tabla contiene la versión y el nivel de actualización de los
parches, no se encontraron inconsistencias:
Ver en el siguiente link, el archivo llamado “Analisis SQL
VALORES (ENCUENTA).xlsx” la hoja “Datos BD”
Elaborado por: Carlos Diosa.
Conclusión: Resultado satisfactorio.
Excepciones: Ninguna identificada.
System Configuration

Control Objective
Ref #
(Point of Focus)
Implication PwC Validation Procedure (Test Task) PwC Testing Results

5.1 Improper configuration of the Everyone
group, providing access to certain
registry keys
A malevolent person may use improper
registry rights configuration to access to
sensitive data.
Verify that the following registry key
HKEY_LOCAL_MACHINE\Software\Mic
rosoft\MSSQLServer and all the sub-
directory keys are not accessible to the
Everyone group.
Compruebe que la siguiente
clave del registro
HKEY_LOCAL_MACHINE \
Software \ Microsoft \
MSSQLServer y todos los sub-
directorios claves no son
accesibles para el grupo Todos.
Procedimiento Realizado
Con base en el archivo "11_permissions_registry" que queda en la
carpeta "Output" luego de ejecutado el script de windows (Ver en el
siguiente link, el archivo llamado “CHECKLIST SEGURIDAD
PLATAFORMA WINDOWS RENTING - SU NEGOCIO - Servidor
Miembro.docx”); se verificó que el grupo Everyone no tuviera
acceso a:
A HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer
Todos los sub-directorios claves
encontrando resultados satisfactorios.
Ver detalle de la prueba en la hoja "5_1_permissions_registry" del
archivo "Analisis SQL SERVER.xlsx" del anexo Nro. 3 de la sección
Attachments.

Elaborado por: Carlos Diosa.

Conclusión: Resultado satisfactorio.

Excepciones: Ninguna identificada
RESUMEN DE HALLAZGOS

 Se encontraron privilegios otorgados al Rol PUBLIC sobre objetos con derecho de Delete, Insert o Update sobre los siguientes objetos: dtproperties (Database context to 'UnoEE') y tblMerCostos (Database
context to 'dbSurenting)

 Se encontraron Stored y extended stored procedures disponibles para el rol public que no se recomienda ya que permite que usuarios no autorizados tengan acceso a ellos.

CONCLUSIÓN
 Ver recomendaciones emitidas en carta de control en >>> [ Notes Link ]
 Se efectuó reunión de TSM (Taking Stock Meeting - Evaluación de los resultados del trabajo de SPA - ITGC) para dar disposición a cada una de las recomendaciones emitidas al cliente. Ver en >>>
[ Notes Link ]
Se realizó diligenciamiento de la matriz SAD (Summary of Aggregated Deficiencies (SAD) - ITGC) para las principales deficiencias detectadas. Ver resultados en >>> [ Notes Link ] .

Attachments:

Anexo Descripción Archivo

1 Información generada mediante la ejecución del Aquí Archivo Adjunto
script. llamado “Output-RC.rar”