Segurança dos geradores de dados

  • Artigo

Planos de geração de dados e geradores de dados personalizados são projetados para ser compartilhado em um ambiente de equipe.Antes de compartilhar arquivos de geração de dados, você deve considerar se existem quaisquer ameaças de segurança.

Geradores de dados tem os seguintes problemas de segurança:

  • Arquivos de geração de dados contêm informações de esquema.

  • Planos de gerações de dados são vulneráveis a inserções de Transact-SQL (T-SQL) arbitrárias nos dados limite gerador de consultas.

  • Geradores de dados personalizados contêm conexão de banco de dados informações

  • Geradores de dados personalizados são vulneráveis a inserções de código arbitrário.

  • Instaladores de gerador de dados personalizados são vulneráveis a inserções de código arbitrário.

Planos de geração de dados e informações de esquema

Quando você criar um plano de geração de dados, o arquivo .dgen contém o esquema das tabelas.Informações de esquema de banco de dados podem ser consideradas um segredo comercial confidencial.Quando você compartilha um arquivo .dgen, a pessoa que você compartilhar o arquivo com possível ver seu esquema.

Somente compartilhamento de geração de planos de dados com fontes confiáveis.

Planos de geração de dados e códigos mal-intencionados

Quando um plano de geração de dados contém um gerador de dados vinculados, você escreve uma consulta de T-SQL que é executada quando o plano é executado.Isso permite arbitrário T-SQL para ser executado de dentro de um plano de geração de dados.

Certifique-se de obter planos de geração de dados de fontes confiáveis e avisar participante os usuários não executem planos de geração de dados que eles recebem de fontes não confiáveis.

Informações de conexão e geradores de dados personalizados

Todos os geradores de dados personalizados têm acesso à seqüência de caracteres de conexão do banco de dados em time de execução.Um gerador de personalizado mal-intencionado pode expor as informações da cadeia de conexão.

Certifique-se de obter dados personalizados geradores de fontes confiáveis e avisar participante usuários não podem usar dados personalizados geradores eles recebem de fontes não confiáveis.

Geradores de dados personalizados e códigos mal-intencionados

Geradores de dados personalizados são classes que podem conter código arbitrário.Quando você usar um gerador de dados personalizados, ele será executado com sistema autônomo mesmas permissões que o usuário ativo.Isso pode executar código mal-intencionado no FullTrust modo.

Certifique-se de obter dados personalizados geradores de fontes confiáveis e avisar participante usuários não podem usar dados personalizados geradores eles recebem de fontes não confiáveis.

Instaladores de gerador de dados personalizados e códigos mal-intencionados

Você pode criar projetos de implantação para instalar os geradores de dados personalizados.Projetos de implantação podem conter código arbitrário.Quando você executa um instalador para um gerador de dados personalizados, o programa de instalação é executado com privilégios maiores.Isso pode executar código mal-intencionado com privilégios maiores.

Certifique-se de obter dados personalizados gerador de instaladores de fontes confiáveis e avisar aos usuários finais não executar instaladores de gerador de dados personalizados que eles recebem de fontes não confiáveis.

Consulte também

Conceitos

Visão geral da extensibilidade do gerador de dados

Outros recursos

Gerar dados com geradores de dados

Visão geral de geração de dados

Planos de geração de dados

Usando os geradores de dados padrão

Criando geradores de dados personalizados