MSS2005 - Prüfen, ob eine Session (Process) noch gültig ist

05/06/2008 - 14:31 von FtH | Report spam
Hallo,

bisher haben wir (unter MSS 2000) die Tabelle sysprocesses in einer
Anwendung verwendet, um für die Benutzerverwaltung zu überprüfen, welche
Benutzer aktiv sind und ggf. ungültige Sessions durch Abstürze o.à.
auszutragen. Die Anwendung hat dazu bei jeder Anmeldung die eigene
Session-Tabelle mit sysprocesses abgeglichen und ggf. bereinigt.

Da sysprocesses unter MSS 2005 ohne "view server state"-Berechtigung nur
noch die Daten der eigenen Session zurückgibt, funktioniert dieses Konzept
für Benutzer ohne Berechtigung serveradmin oder sysadmin nicht mehr. Unter
Sicherheitsaspekten ist dies ohne Frage auch sinnvoll.

Kennt noch jemand eine Methode, um von einem Process - welcher nicht der
eigene ist - festzustellen, ob er noch existiert? Nach Möglichkeit möchte
ich dem Benutzer keine zusàtzlichen Serverrechte (nur public) geben und die
Datenbank nicht unbedingt auf TRUSTWORTHY setzen oder kompliziert mit
Zertifikaten arbeiten.

Bin für jede Idee dankbar.

Danke im Voraus,
F.
 

Lesen sie die antworten

#1 Elmar Boye
05/06/2008 - 15:41 | Warnen spam
Hallo F.,

FtH schrieb:
bisher haben wir (unter MSS 2000) die Tabelle sysprocesses in einer
Anwendung verwendet, um für die Benutzerverwaltung zu überprüfen, welche
Benutzer aktiv sind und ggf. ungültige Sessions durch Abstürze o.à.
auszutragen. Die Anwendung hat dazu bei jeder Anmeldung die eigene
Session-Tabelle mit sysprocesses abgeglichen und ggf. bereinigt.

Da sysprocesses unter MSS 2005 ohne "view server state"-Berechtigung nur
noch die Daten der eigenen Session zurückgibt, funktioniert dieses
Konzept für Benutzer ohne Berechtigung serveradmin oder sysadmin nicht
mehr. Unter Sicherheitsaspekten ist dies ohne Frage auch sinnvoll.



Genau aus Sicherheitaspekten hat man das gemacht -> um einem potentiellen
Angreifer möglichst wenigst Information (Angriffsflàche) zu bieten.

Kennt noch jemand eine Methode, um von einem Process - welcher nicht der
eigene ist - festzustellen, ob er noch existiert?



Nein, wenn da nicht ein Loch drin ist (und mir ist keins bekannt).

Eine Alternative wàre den Service Broker fürs Auditing zu nutzen.
Grundlagen findet Du unter
<URL:http://msdn.microsoft.com/de-de/lib...0.aspx>
"Implementieren von Ereignisbenachrichtigungen"

und ein Beispiel findest Du unter
<URL:http://www.sqlservercentral.com/art.../2366/>
"SQL Server 2005 Logon Triggers"

Das hat am Ende den Vorteil, das Du immer zeitnah informiert wirst
und es zentralisiert làuft.

Gruß Elmar

Ähnliche fragen