Proprietarii bazelor de date SA
Când sunt create baze de date, proprietarul este implicit cel care a creat-o. Acest proprietar îi conferă creatorului permisiuni suplimentare, iar acest lucru poate fi o problemă într-un mediu securizat și blocat, în care trebuie să onorăm principiul celui mai mic privilegiu.
Această parte a scriptului nostru SQL Server sp_Blitz verifică sys.databases căutând proprietarii. A fost contribuită de Ali Razeghi.
Pentru a rezolva problema
Într-o lume perfectă, v-ați lua timp pentru a înțelege pe deplin principiul celui mai mic privilegiu. Citiți postarea lui Andreas Wolter despre cine ar trebui să fie proprietarul bazei de date și consultați cartea lui Denny Cherry, Securing SQL Server, pentru mai multe detalii.
Majoritatea magazinelor sfârșesc prin a folosi SA ca proprietar, deoarece este cea mai ușoară modalitate de a evita problemele de proprietate atunci când numele proprietarului nu mai există. Aceasta nu este cea mai bună practică – dar nu există un răspuns scurt pentru cea mai bună practică.
Dacă decideți că vreți să faceți SA proprietar pe o bază de date, rulați această comandă T-SQL:
1
|
ALTER AUTHORIZATION ON DATABASE::ReplaceThisWithYourDatabaseName to sa;
|
După modificare, serverul dvs. va fi mai sigur – dar este posibil ca utilizatorii să fie obișnuiți să facă lucruri pe care nu mai au permisiunea să le facă. Verificați cu fostul proprietar al bazei de date pentru a vă asigura că totul continuă să funcționeze.
Întoarceți-vă la sp_Blitz sau puneți-ne întrebări
.