SQL Server: Почему xp_cmdshell по умолчанию отключен?

Question

Каковы причины безопасности, по которым расширенная хранимая процедура xp_cmdshell отключена по умолчанию?

Answer 1

Вы можете найти объяснение в Permissions разделе SQL Server documentation, где говорится, что:

Поскольку злоумышленники иногда попытка повысить свои привилегии на с помощью xp_cmdshell, xp_cmdshell является отключена по умолчанию.

Более подробное описание вы можете найти в блоге SQL Server Security. Краткая выдержка из состояний в блоге:

Во многих случаях люди позволяют xp_cmdshell и предоставлять доступ к нему без системного администратора принципалов, чтобы выполнять одну или две операции на системе , не понимая, что пользователь с доступом к нему может выполнить любую произвольную команду, а в некоторых случаях, эффективно нагнетать его/ее привилегии сисадмин или даже ящик администратору - очевидно, ситуация , которая меньше, чем хотелось бы. xp_cmdshell действительно трудно контроля эффективен, и даже аудит его использование все еще может позволить злоумышленнику не злоупотреблять свою власть в течение некоторого времени, пока Тропа этого нарушения условий, и в тот момент ущерб может уже быть сделанный.