{"id":1340,"date":"2020-05-12T12:32:29","date_gmt":"2020-05-12T15:32:29","guid":{"rendered":"http:\/\/thesqltimes.com\/blog\/?p=1340"},"modified":"2020-05-12T12:32:29","modified_gmt":"2020-05-12T15:32:29","slug":"azure-file-share-no-sql-server-5","status":"publish","type":"post","link":"https:\/\/thesqltimes.com\/blog\/2020\/05\/12\/azure-file-share-no-sql-server-5\/","title":{"rendered":"Azure File Share no SQL Server – [5] Tudo junto!"},"content":{"rendered":"
\r\n
\r\n \r\n <\/i>\r\n <\/a>\r\n <\/span>\r\n<\/div><\/div>
Post 5\/5. Este post \u00e9 parte da s\u00e9rie: Azure File Share no SQL Server<\/a>\r\n<\/div>\r\nTempo de Leitura:<\/span> 4<\/span> minutos<\/span><\/span>

Finalmente, chegamos ao nosso \u00faltimo post da s\u00e9rie sobre Azure File Share no SQL Server! No primeiro post, voc\u00ea viu a solu\u00e7\u00e3o completa, sem muita explica\u00e7\u00e3o para o cen\u00e1rio “Como mapear um azure file share para que eu possa fazer backup no meu SQL Server da maneira mais segura poss\u00edvel”<\/em>.<\/p>\n

E ent\u00e3o, nos posts seguintes eu mostrei alguns conceitos b\u00e1sico do Azure File Share, de diret\u00f3rios de rede e as dificuldades e op\u00e7\u00f5es que temos para mapear diret\u00f3rios de rede de forma que o SQL Server os enxergue! E, por \u00faltimo, mas n\u00e3o menos importante, te apresentei o Credential Manager do Windows, uma das grandes chaves para preencher o requisito “mais seguro” do nosso problema.<\/p>\n

Eu resolvi abordar toda esses detalhes por um simples fato: A senha que voc\u00ea utiliza para acessar o Azure File Share \u00e9 simplesmente a Account Key<\/em><\/a>. Isto significa que, se voc\u00ea deixar isso solto em algum script no seu ambiente, voc\u00ea pode n\u00e3o comprometer somente seu SQL Server, mas toda uma storage account da sua empresa. E uma dica: Tudo que foi dito durante toda a s\u00e9rie se aplica para os tradicionais file share, aqueles que s\u00e3o mapeados entre um servidor e outro dentro da rede da sua empresa, file server, etc.<\/p>\n

Recapitulando o post anterior, eu mostrei como voc\u00ea pode armazenar as credenciais de um diret\u00f3rio de rede usando o Credential Manager. Gra\u00e7as a isso, eu consigo acessar o diret\u00f3rio sem precisar digitar senhas e usu\u00e1rios. E ent\u00e3o, como uma pessoa espera que voc\u00ea \u00e9, pode ap\u00f3s executar exemplo do post anterior, voc\u00ea pode ter tentado fazer isso no seu SQL Server:<\/p>\n

 <\/p>\n

\"Erro:<\/a><\/p>\n

 <\/p>\n

O erro \u00e9 esperado, pois eu cadastrei as credenciais na sess\u00e3o do meu usu\u00e1rio<\/strong>. O credential manager, \u00e9 por usu\u00e1rio (e n\u00e3o por Logon Session, como expliquei no terceiro post da s\u00e9rie)!\u00a0 Isso nos d\u00e1 a vantagem de que eu preciso inserir apenas uma vez essas credenciais de acesso e mesmo ap\u00f3s restarts de servi\u00e7o, ou at\u00e9 mesmo da m\u00e1quina, o acesso ao share ir\u00e1 continuam funcionando!<\/p>\n

Logo, a \u00fanica coisa que eu preciso fazer agora para que \u00e9 cadastrar\u00a0 as credenciais no Credential Manager<\/strong> apenas uma vez<\/strong> para o usu\u00e1rio do SQL (conta de servi\u00e7o), e n\u00e3o para o meu. E isso \u00e9 muito importante destacar: Alguns ransonwares j\u00e1 conseguem detectar sess\u00f5es SMB e fazer o trabalho sujo, mesmo que n\u00e3o esteja mapeada como um drive local<\/a>… Caso ele se instale na sua conta de usu\u00e1rio, voc\u00ea pode ter aberto um brecha… Mapear apenas para um conta de servi\u00e7o, reduz mais ainda as chances, uma vez que ela n\u00e3o \u00e9 interativa. Isso vai tornar sua vida mais dif\u00edcil quando quiser validar algo… Mas a decis\u00e3o \u00e9 sua: mais seguran\u00e7a ou mais f\u00e1cil?<\/span><\/span><\/strong><\/p>\n

H\u00e1 v\u00e1rias maneiras de se mapear as credenciais para a conta do SQL, gra\u00e7as a ferramenta que mostrei no post anterior, cmdkey<\/strong>:<\/p>\n

    \n
  1. Logando com a conta do SQL, se voc\u00ea possui a senha dele\n
      \n
    1. Identifique a conta de servi\u00e7o (pode usar configuration manager, services.msc, powershell, etc.)\n
        \n
      1. Eu gosto da DMV sys,dm_server_services<\/a><\/li>\n<\/ol>\n<\/li>\n
      2. Abra o cmd.exe e utilize o seguinte comando:\n
        runas \/user:ContaServicoSQL \"cmd \/k cmdkey \/add:StorageAccountURI \/user:Azure\\StorageAccountName \/pass:AccountKey\"<\/pre>\n
        \"\"<\/a><\/p>\n
        O que este comando faz \u00e9 simples: Ele inicia um cmd com\u00a0 a conta de servi\u00e7o e executa o comando cmdkey para adicionar as credenciais.
        \nCom isso, o cmdkey \u00e9 executado no contexto do usu\u00e1rio do SQL e as credenciais s\u00e3o adicionadas para este usu\u00e1rio.<\/li>\n
      3. Se tudo ocorreu com sucesso, voc\u00ea ver\u00e1 uma nova janela se abrindo:\n
        \"\"<\/p>\n<\/li>\n<\/ol>\n<\/li>\n
      4. Com xp_cmdshell\n
          \n
        1. Caso voc\u00ea n\u00e3o possua a senha da conta, ou a conta seja uma virtual account<\/a> (ex.: NT SERVICE\\MSSQLSERVER), voc\u00ea dever\u00e1 usar este m\u00e9todo!<\/li>\n
        2. Novamente, vou alertar para as quest\u00f5es de seguran\u00e7a ao usar xp_cmdshell:\n
            \n
          1. N\u00c3O ESQUE\u00c7A DE DESABILIT\u00c1-LA<\/strong> ap\u00f3s o uso, caso voc\u00ea n\u00e3o precise usar para mais nada no seu ambiente;<\/li>\n
          2. N\u00e3o execute nenhum comando em produ\u00e7\u00e3o, sem que voc\u00ea fa\u00e7a um teste antes!<\/li>\n<\/ol>\n<\/li>\n
          3. Dito isso, e considerando que ir\u00e1 executar por sua pr\u00f3pria conta e risco<\/strong>, j\u00e1 deixei o script pronto no git<\/a> que aceita algumas vari\u00e1veis como par\u00e2metros e faz todo o trabalho.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n
            Ap\u00f3s inserir na Credential Store da conta do SQL, o acesso funciona normalmente:<\/p>\n
            \"\"<\/p>\n
            Voc\u00ea querer facilita sua vida, utilizando um symbolic link:<\/p>\n
            cmd \/c mklink \/D NomeDiretorio URLAzureFileShare<\/pre>\n
            \"\"<\/p>\n
            \"\"<\/p>\n
            Mas isso faz com que o file share seja enxergado a n\u00edvel de filesystem. Se estiver tentando dificultar a vida de um ransomware, por exemplo, isso pode n\u00e3o ser uma boa ideia<\/strong>. O link simb\u00f3lico \u00e9 um recurso muito pouco explorado no mundo Windows, por\u00e9m bastante usado no mundo Linux. A ideia \u00e9 criar um esp\u00e9cie de ponteiro para outros caminhos, de forma que voc\u00ea possa utilizar esse “ponteiro” como se fosse o caminho real. Deixei alguns links de refer\u00eancia para aprender mais. E algum momento posso abordar ele mais especificamente em outros casos envolvendo SQL Server. Mas, alerto que us\u00e1-lo aqui, pode realmente causar um efeito contr\u00e1rio do que voc\u00ea quer, em rela\u00e7\u00e3o a seguran\u00e7a…<\/p>\n
            Finalizamos aqui nossa s\u00e9rie e espero que ela tenha sido \u00fatil de alguma forma!<\/p>\n
            Utilize os coment\u00e1rios caso tenha ficado com alguma d\u00favida!<\/p>\n
             <\/p>\n
            Fontes e Links \u00fateis:<\/p>\n
             <\/p>\n