Vlastníci databází SA
Při vytváření databází je výchozím vlastníkem ten, kdo je vytvořil. Toto vlastnictví dává tvůrci další oprávnění, což může být problém v uzamčeném zabezpečeném prostředí, kde musíme dodržovat zásadu nejmenšího oprávnění.
Tato část našeho skriptu SQL Server sp_Blitz kontroluje sys.databases a hledá vlastníky. Přispěl do ní Ali Razeghi.
Oprava problému
V dokonalém světě byste věnovali čas úplnému pochopení principu nejmenších privilegií. Přečtěte si příspěvek Andrease Woltera o tom, kdo by měl být vlastníkem databáze, a další podrobnosti najdete v knize Dennyho Cherryho Zabezpečení SQL Serveru.
Většina obchodů nakonec používá jako vlastníka SA, protože je to nejjednodušší způsob, jak se vyhnout problémům s vlastnictvím, když jméno vlastníka již neexistuje. To není nejlepší postup – ale na nejlepší postup neexistuje krátká odpověď.
Pokud se rozhodnete, že chcete z SA udělat vlastníka v databázi, spusťte tento příkaz T-SQL:
|
1
|
ALTER AUTHORIZATION ON DATABASE:
|
Po změně bude váš server bezpečnější – uživatelé si však mohou zvyknout dělat věci, ke kterým již nemají oprávnění. Ověřte si u bývalého vlastníka databáze, zda vše i nadále funguje.
Vraťte se na sp_Blitz nebo se nás zeptejte
.