Как правильно защитить сервер sql

Question

Ive создал общую учетную запись sql для использования с кучей старых устаревших приложений. Я установил учетную запись публично, а затем протестировал ее, войдя в sql server studio manager. Это было успешно, однако я заметил, что мне удалось перейти в системные таблицы, посмотреть в папку безопасности и т. Д. Как я могу настроить учетную запись, чтобы не сделать этого. Мне трудно поверить, что создание учетной записи и предоставление ей публичной роли позволит получить доступ к этим объектам. Что я сделал не так?

Answer 1

Роль публичной учетной записи является наименее привилегированной ролью. Если вы удалите использование этой роли, вы можете не разрешить ее вообще подключать.

Вы можете пойти и удалить пользователя из всех встроенных ролей в свойствах пользователя здесь

После этого вы можете предоставить разрешения в явном виде с помощью GRANT, DENY и другие security statements.

Answer 2

Будучи в состоянии видеть папка «Безопасность» не совпадает с возможностью видеть записи в папке. Обычно пользователь может видеть свою учетную запись, но не чужую учетную запись.

Сопоставление пользователя с базой данных с «общедоступной» ролью дает незначительную мощность. Роль «db_datareader» обычно позволяет выбирать таблицы, но не выполняет (например) выполнение хранимых процедур. Роль «db_owner» обеспечивает максимальную мощность в базе данных.