Разрешения SQL Server для SP_LINKEDSERVER

Question

Справочная информация: У меня есть сторонний разработчик, для которого мы создали логин в нашем SQL Server с минимальными разрешениями, необходимыми для их выполнения. Мы дали им «deny datareader» и «deny datawriter», хотя мы предоставили им разрешения на выполнение двух хранимых процедур, которые им требуются.

Вопрос: Было доведено до моего сведения, что некоторые отверстия в нашей установке будут уязвимы для этого нового пользователя, если они хотят действовать злонамеренно. У нас есть доступ с этого сервера к другим серверам SQL через связанные серверы. Вход на удаленные серверы не использует вход в систему для пользователей (логин как «я» является ложным), скорее у нас есть связанные с сервером логины. Следовательно, если они сталкиваются с именами связанных серверов, они смогут иметь неограниченный доступ к связанным серверам. Я отменил доступ к «sp_linkedservers» к роли «public», чтобы они не увидели список.

Вопрос: Пока мы не исправим ситуацию со связанными серверами, есть ли у нас возможность исправить это отверстие? Что-то вроде отказа в доступе к связанным серверам было бы неплохо, хотя из того, что я понимаю, это было бы невозможно ... любая помощь была бы высоко оценена!

Отказ от ответственности: Хотя я не подозреваю этого пользователя в злонамеренном поведении, я хочу предотвратить эту возможность и в то же время изучить еще одну часть разрешений SQL Server.

Большое спасибо!

~ Эли

Answer 1

Я спросил вокруг немного, и направил этот вопрос другим на твиттере, пока я не ориентировался на правильное место. См. Прилагаемый скриншот