D-24: Registry Procedure 권한 제한
분류: DBMS
중요도: 상
개요
점검 내용
Registry Procedure의 권한 설정 확인 및 점검
점검 목적
불필요한 Registry Procedure의 권한 설정을 확인하고 제한하여 시스템의 보안 및 안정성을 강화하기 위함
보안 위협
불필요한 레지스트리 접근 권한이 제한되지 않는 경우, 공격자가 시스템을 변경하거나 악성 소프트웨어를 설치하여 권한 상승, 데이터 유출, 시스템 장애를 발생시킬 위험이 존재함
참고
-
점검 대상 및 판단 기준
대상
MSSQL
판단 기준
✅ 양호: 제한이 필요한 시스템 확장 저장 프로시저들이 DBA 외 guest/public에게 부여되지 않은 경우
❌ 취약: 제한이 필요한 시스템 확장 저장 프로시저들이 DBA 외 guest/public에게 부여된 경우
조치 방법
guest/public에게 부여된 시스템 확장 저장 프로시저 권한 제거
조치 시 영향
일반적인 경우 영향 없음
점검 및 조치 사례
MSSQL
Step 1) SQL Server Management Studio > 개체 탐색기 > 데이터베이스
Step 2) 시스템 데이터베이스 > master > 프로그래밍 기능 > 확장 저장 프로시저 > 시스템 확장 저장 프로시저
Step 3) 각 시스템 확장 저장 프로시저 제한 > 마우스 우클릭 > 속성
Step 4) 사용 권한 > public 실행 권한 제거(체크 해제)
시스템 확장 저장 프로시저 제한
sys.xp_readdmultistringsys.xp_redeletekeysys.xp_regdeletevaluesys.xp_regenumvaluessys.xp_regreadsys.xp_regremovemultistringsys.xp_regwrite