안녕하세요, 어느 네트워크 SI회사에 다니고 있는 네트워크쟁이입니다.
다름이 아니라 이번에 윈도우 서버를 납품하며 함께 MSSQL 2019를 납품하였는데,
KISA 기준 DBMS 취약점 점검이 필요하여 급하게 가이드를 따라가며 항목을 하나씩 처리하였습니다.
그런데 한 항목이 가이드를 봐도 도저히 따라하기가 힘들어, 이렇게 문의를 남기게 되었습니다.
--------------------------------------------------------------------------------------
2.2 DBA 이외의 인가되지 않은 사용자가 시스템 테이블에 접근할 수 없도록 설정
■ MSSQL
Step 1) System tables 접근 권한이 Public, Guest 또는 비 인가된 사용자에게 부여된 경우 접근
권한을 Public, Guest, 비인가된 사용자로부터 권한 제거
Use database name
Revoke <권한> on <object> from [user name]|[public]|[guest];
Step 2) 시스템 테이블에 접근하기 위해서는 stored procedure 또는, information_schema
views를 통해 접근해야 함
Step 3) 시스템 테이블에 접근 가능한 stored procedure는 사용이 제한되어야 함
--------------------------------------------------------------------------------------
여기서 step 2부터 꽉 막혀버렸습니다. 무슨 내용인고 하여 검색해봤더니,
벼락치기를 한다고 sql 문외한이 따라할 수 있는 항목은 아닌거 같다고 느꼈습니다...
혹시 이 항목과 관련하여 점검 방법을 가르쳐주실 천사분 계실까요???
system tables에 접근 권한이 있는 사용자를 알아볼 수 있기만 해도 한결 수월할 것이라 생각합니다.
아니면 쿼리문 작성 없이 GUI를 통해 간편하게 알아볼 수 있는 방법이 없을까요?
고수분들의 답변을 애타게 기다리겠습니다...
Comment 1
-
이리
2023.09.21 11:50
이거는 말로는 좀 어려울거 같은데요..
시스템 테이블 예를 들어 sys.tables 라는 테이블을 조회하면 table에 대한 정보가 나옵니다.
이걸 테이블을 조회하는게 아니라 SP를 작성해서 호출하라는 얘기 같은데요..
대상을 정하고 기준을 정해서 SP를 일일이 작성해야 할걸로 보입니다..