Neu Sicherheitswarnung - Wawi Datenbank (sa) Passwort mit öffentlichem Tool entschlüsselbar

[mvh]

Ihr könnt noch weiter gehen und den Zugriff für alle "Fremdprogramme" außer WaWi sperren.
Dafür gibt es Logon Trigger, s. https://learn.microsoft.com/en-us/s...ers?redirectedfrom=MSDN&view=sql-server-ver16
Die Sessions werden in der Tabelle sys.dm_exec_sessions verwaltet, s. z.B. https://stackoverflow.com/questions...y-access-to-sql-server-from-specific-programs
Die Programmnamen wären: JTL-wawi, <Benutzer> JTL-Wawi C#, usw. (Feld: program_name) und Eure Rechnernamen stehen in host_name

 

[mh1]

Ihr könnt noch weiter gehen und den Zugriff für alle "Fremdprogramme" außer WaWi sperren.
Dafür gibt es Logon Trigger, s. https://learn.microsoft.com/en-us/s...ers?redirectedfrom=MSDN&view=sql-server-ver16
Die Sessions werden in der Tabelle sys.dm_exec_sessions verwaltet, s. z.B. https://stackoverflow.com/questions...y-access-to-sql-server-from-specific-programs
Die Programmnamen wären: JTL-wawi, <Benutzer> JTL-Wawi C#, usw. (Feld: program_name) und Eure Rechnernamen stehen in host_name

Ein Programm, dass eine Verbindung zum SQL-Server herstellt, setzt doch den eigenen Programmname in den Verbindungsparametern.
Das böse Programm kann also problemlos zum SQL-Server sagen: "ich bin die JTL-Wawi"

Dafür gibt es Logon Trigger, s. https://learn.microsoft.com/en-us/s...ers?redirectedfrom=MSDN&view=sql-server-ver16

Nein, dafür sind Logon Trigger nicht gedacht und eine Art Zutrittskontrolle können sie auch nicht leisten, da die Logon Trigger erst nach der erfolgreichen Authentifizierung ausgeführt werden.
Ein denkbarer Einsatz für Logon Trigger wäre z.B. eine Prüfung, ob ein User bereits angemeldet ist, also er sich nicht mehrfach anmeldet und die bestehende Session weiterbenutzt.

 

[Underbär]

Moin,

ich möchte nun auf jedem client die sa + pw Verbindungseinstellung löschen und durch einen extra angelegte User in der DB ersetzen.

Dafür habe ich folgenden Eintrag im Guide gefunden Neuen DB User anlegen wenn ich diesen dann angelegt habe,

bekomme ich folgenden Fehler beim neuverbinden bzw einrichten der neuen Verbindung mit neuem User


hmm was mache ich falsch?

 

[mvh]

Ein Programm, dass eine Verbindung zum SQL-Server herstellt, setzt doch den eigenen Programmname in den Verbindungsparametern.
Das böse Programm kann also problemlos zum SQL-Server sagen: "ich bin die JTL-Wawi"


Nein, dafür sind Logon Trigger nicht gedacht und eine Art Zutrittskontrolle können sie auch nicht leisten, da die Logon Trigger erst nach der erfolgreichen Authentifizierung ausgeführt werden.
Ein denkbarer Einsatz für Logon Trigger wäre z.B. eine Prüfung, ob ein User bereits angemeldet ist, also er sich nicht mehrfach anmeldet und die bestehende Session weiterbenutzt.

1) Ja, kann er, aber dafür muss das böse Programm wissen, wie der Trigger geschrieben ist, denn außer Programmnamen gibt es noch zig weitere Parameter in der Session.
Und dafür muss sich das Programm zuerst mal als sa einloggen.
2) Wird die Session verweigert - wird die Verbindung unterbrochen, obwohl die Anmeldung richtig war, und dafür werden Logon Trigger ausgenutzt, auch laut Microsoft:

ROLLBACK TRANSACTION:
Consider the following when you are using a ROLLBACK TRANSACTION statement inside logon triggers:

• Any data modifications made up to the point of ROLLBACK TRANSACTION are rolled back. These modifications include those made by the current trigger and those made by previous triggers that executed on the same event. Any remaining triggers for the specific event are not executed.
• The current trigger continues to execute any remaining statements that appear after the ROLLBACK statement. If any of these statements modify data, the modifications are not rolled back.

A user session is not established if any one of the following conditions occur during execution of a trigger on a LOGON event:

• The original implicit transaction is rolled back or fails.
• An error that has severity greater than 20 is raised inside the trigger body.

 

[mh1]

Moin,

ich möchte nun auf jedem client die sa + pw Verbindungseinstellung löschen und durch einen extra angelegte User in der DB ersetzen.

Dafür habe ich folgenden Eintrag im Guide gefunden Neuen DB User anlegen wenn ich diesen dann angelegt habe,

bekomme ich folgenden Fehler beim neuverbinden bzw einrichten der neuen Verbindung mit neuem User
Den Anhang 93766 betrachten

hmm was mache ich falsch?

Wann kommt denn dieser Fehler?
Gleich beim Starten der Wawi?
Beim Anmelden einers Benutzers an der Wawi?
Ist das JTL-Datenbankprofil richtig eingestellt? Servername?
Server läuft und ist erreichbar?

Ich habe gerade den Artikel aus deinem Link überflogen.
Ich muss zugeben, dass ich mich diesbezüglich mit dem Management Studio garnicht so genau auskenne, da ich solche Admin Aufgaben immer gerne direkt mit SQL mache, aber kann es sein, dass du nur einen Login angelegt hast und doch keinen User?

 

[mh1]

2) Wird die Session verweigert - wird die Verbindung unterbrochen, obwohl die Anmeldung richtig war,

Das stimmt, der LOGON Trigger wird ausgeführt, sobald SQL-Server ein LOGON Ereignis feststellt und noch bevor die Benutzersitzung eingerichtet wird.
Der SQL-Server startet eine TRANSACTION für diesen Trigger. Schlägt diese TRANSACTION fehl, wird die Sitzung nicht hergestellt.

Bitte seid extrem vorsichtig mit diesen LOGON Triggern!
Damit haben sich schon einige effektiv von ihrem SQL-Server ausgesperrt

 

[Verkäuferlein]

Moin,

ich möchte nun auf jedem client die sa + pw Verbindungseinstellung löschen und durch einen extra angelegte User in der DB ersetzen.

Dafür habe ich folgenden Eintrag im Guide gefunden Neuen DB User anlegen wenn ich diesen dann angelegt habe,

bekomme ich folgenden Fehler beim neuverbinden bzw einrichten der neuen Verbindung mit neuem User
Den Anhang 93766 betrachten

hmm was mache ich falsch?

Wie so oft, steht die Lösung bereits in der Fehlermeldung...

"Starten Sie bitte die JTL-Datenbankverwaltung als Administrator."

Du müsstest also vermutlich die Wawi mit einem Rechtsklick und dann im Kontextmenü mit "Als Administrator ausführen" starten. Wenn Du dann in die Datenbankverwaltung wechselst, sollte diese im Idealfall auch als Administrator ausgeführt werden und Du kannst dann (hoffentlich) die Änderungen entsprechend vornehmen.

 

[Underbär]

Wie so oft, steht die Lösung bereits in der Fehlermeldung...

"Starten Sie bitte die JTL-Datenbankverwaltung als Administrator."

Du müsstest also vermutlich die Wawi mit einem Rechtsklick und dann im Kontextmenü mit "Als Administrator ausführen" starten. Wenn Du dann in die Datenbankverwaltung wechselst, sollte diese im Idealfall auch als Administrator ausgeführt werden und Du kannst dann (hoffentlich) die Änderungen entsprechend vornehmen.

Selbe Fehler. Bringt keinen unterschied.

 

[mh1]

Wie so oft, steht die Lösung bereits in der Fehlermeldung...

"Starten Sie bitte die JTL-Datenbankverwaltung als Administrator."

Du müsstest also vermutlich die Wawi mit einem Rechtsklick und dann im Kontextmenü mit "Als Administrator ausführen" starten. Wenn Du dann in die Datenbankverwaltung wechselst, sollte diese im Idealfall auch als Administrator ausgeführt werden und Du kannst dann (hoffentlich) die Änderungen entsprechend vornehmen.

Sind die Datenbankprofile nicht beim standardmäßig beim Benutzer gespeichert?

 

[Verkäuferlein]

Sind die Datenbankprofile nicht beim standardmäßig beim Benutzer gespeichert?

Da bin ich mir nicht 100% sicher, grundsätzlich sind die Zugangsdaten beim Benutzer gespeichert, aber es kann sein, dass der Administrator zunächst das Profil anlegen muss und der Nutzer dieses dann anschließend auswählen kann (was ja auch Sinn ergeben würde).

Bei mir musste ich zunächst das Profil löschen, das Profil neu anlegen, noch die Rollen und Rechte im SQL-Server korrigieren und dann ging die Verbindung.
Allerdings habe ich es bisher nur als "Administrator" getestet, um erst einmal die korrekten Einstellungen zu prüfen.

Selbe Fehler. Bringt keinen unterschied.

Dann müssen wir mal von vorne Anfangen.
Um welche Version der Wawi geht es?

Was genau hast Du gemacht (außer im SQL-Server einen neuen User anzulegen) und wann erscheint diese Fehlermeldung?
Poste am besten mal Deine Einstellungen aus der Datenbankverwaltung / dem Profil aus der Wawi als Screenshot (Daten die niemanden etwas angehen, kannst Du ja unkenntlich machen).

Hast Du ein neues Datenbank-Profil in der Wawi angelegt und dieses dann ausgewählt oder das alte Datenbank-Profil gelöscht und ein neues angelegt?

 

[mh1]

...aber es kann sein, dass der Administrator zunächst das Profil anlegen muss und der Nutzer dieses dann anschließend auswählen kann (was ja auch Sinn ergeben würde).

Das wär ja krass, wenn man das so einstellen kann.
Bei uns im Haus sind die Profile immer unter [HKEY_CURRENT_USER\SOFTWARE\jtl-software\Profiles] abgespeichert, also beim Benutzer.
Das heißt, an Geräten wo sich über den Tag mehrere Benutzer anmelden, hab ich seither immer auch mehrere Profile angelegt.
Wie geht das mit dem Admin Profil, das dann für alle Benutzer gilt?

Dann müssen wir mal von vorne Anfangen.

Genau., so sehe ich das auch (siehe mein Beitrag am Freitag).

Oder du schreibst jetzt erstmal wieder den sa in das Profil, denn damit hats ja getan.

Hast Du ein neues Datenbank-Profil in der Wawi angelegt und dieses dann ausgewählt oder das alte Datenbank-Profil gelöscht und ein neues angelegt?

Prinzipiell bei Änderungen am JTL-Datenbankprofil würd ich es erst löschen und dann ein neues anlegen.
Hatte bei uns schon öfter den Fall, dass die Abänderung eines bestehenden Profils nicht erkannt wurde.

 

[Verkäuferlein]

Das wär ja krass, wenn man das so einstellen kann.
Bei uns im Haus sind die Profile immer unter [HKEY_CURRENT_USER\SOFTWARE\jtl-software\Profiles] abgespeichert, also beim Benutzer.
Das heißt, an Geräten wo sich über den Tag mehrere Benutzer anmelden, hab ich seither immer auch mehrere Profile angelegt.
Wie geht das mit dem Admin Profil, das dann für alle Benutzer gilt?

Sorry, das war wohl mehr ein Wunschtraum von mir, habe das gerade nochmal durchgespielt, aber so wie ich dachte funktioniert das leider nicht. Grundsätzlich macht es ja auch Sinn, da benutzerbezogen zu arbeiten und nicht rechnerbezogen. Allerdings würde es natürlich dennoch auch Sinn machen, dass nicht jeder Nutzer einfach in die Datenbankverwaltung kommt und dort Profile anlegen und löschen kann, wie er lustig ist.

Da hat mich die Fehlermeldung auf die falsche Fährte gelockt.

Genau., so sehe ich das auch (siehe mein Beitrag am Freitag).

Hätte ja auch mal klappen können und die Fehlermeldung führt weiter...

Prinzipiell bei Änderungen am JTL-Datenbankprofil würd ich es erst löschen und dann ein neues anlegen.
Hatte bei uns schon öfter den Fall, dass die Abänderung eines bestehenden Profils nicht erkannt wurde.

Jop, steht auch so als Hinweis in der Datenbankverwaltung selber drin.

Aber man könnte ja auch zum Testen erstmal ein zusätzliches Profil anlegen und das SA-Profil dann später löschen.

@Underbär
Wir brauchen weitere Infos...