none
MSSQLServer autorizzazione di CONNECT , EXECUTE sul DB MASTER RRS feed

  • Domanda

  • Salve a tutti.

    Un applicazione mi richiede "inamovibilmente" (altimenti non funziona) almeno le credenziali di connect & execute sul db Master dell'istanza dove è presente il loro database applicativo.

    Da una prova fatta, sicuramente potranno lanciare, per esempio , la xp_logininfo ... e già questo per quanto sia un risultato di "sola lettura" non mi piace tantissimo ma mi chiedevo, che cosa gli sarà possibile fare ad un utenza con queste credenziali ?? (ovviamente non sono sysadmin) .

    Grazie a tutti in anticipo, ciao.



    Hunternet

    lunedì 20 ottobre 2014 13:00

Risposte

  • leggi questo documento

    http://msdn.microsoft.com/en-us/library/ff929055.aspx

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    • Contrassegnato come risposta HunterNet79 martedì 21 ottobre 2014 09:49
    lunedì 20 ottobre 2014 14:47
    Moderatore

  • Ma riguardo la possibilità di fare "altro" avendo una connect ed execute al master ? 
    execute ... ma a che livello ?!?


    non che si possa fare molto altro anche se il concetto di "molto altro" dipende dalla sensibilità di ciascuno di noi visto che la perdita del database master compromette definitivamente l'istanza di sql server.

    controlla cosa contiene esattamente il master qui

    http://msdn.microsoft.com/it-it/library/ms187837.aspx


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    • Contrassegnato come risposta HunterNet79 martedì 21 ottobre 2014 09:49
    martedì 21 ottobre 2014 09:46
    Moderatore

Tutte le risposte

  • leggi questo documento

    http://msdn.microsoft.com/en-us/library/ff929055.aspx

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    • Contrassegnato come risposta HunterNet79 martedì 21 ottobre 2014 09:49
    lunedì 20 ottobre 2014 14:47
    Moderatore
  • ahppperò ! Grazie.

    Quindi un utente messo nei "DB_owner" di un database applicativo ha la possibilità di fare "ALTER ANY USER" (al pardi di un sysadmin) e quindi avrebbe la possibilità di collegarsi ad altri DB applicativi dell'istanza , SOLO laddove l'account guest fosse abilitato, non diversamente ! Corretto ?

    Ma riguardo la possibilità di fare "altro" avendo una connect ed execute al master ? 
    execute ... ma a che livello ?!?

    Grazie Edoardo.


    Hunternet

    lunedì 20 ottobre 2014 15:07

  • Ma riguardo la possibilità di fare "altro" avendo una connect ed execute al master ? 
    execute ... ma a che livello ?!?


    non che si possa fare molto altro anche se il concetto di "molto altro" dipende dalla sensibilità di ciascuno di noi visto che la perdita del database master compromette definitivamente l'istanza di sql server.

    controlla cosa contiene esattamente il master qui

    http://msdn.microsoft.com/it-it/library/ms187837.aspx


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    • Contrassegnato come risposta HunterNet79 martedì 21 ottobre 2014 09:49
    martedì 21 ottobre 2014 09:46
    Moderatore
  • Ok ... quindi, riassumento :

    - l'essere "db_owner" del proprio database non è propriamente un ruolo che "confina" i permessi a livello del proprio database ma li estende anche ad i database che hanno l'utente guest abilitato.

    - il db master, per sua natura, non permette la disabilitazione dell'account guest.

    Se cosi è , ho fatto una grande (triste) scoperta. :-(

    Grazie Edoardo.


    Hunternet

    martedì 21 ottobre 2014 09:57