Mi primera pregunta, sé gentil. Entiendo que la cuenta sa permite un control completo sobre un servidor SQL y todas las bases de datos, usuarios, permisos, etc.
Creo absolutamente que las aplicaciones no deberían usar la contraseña sa sin una persona de negocios perfeccionada y centrada en eso. Las respuestas a esta pregunta incluyen mucho de mi razonamiento para una discusión centrada en TI
Me veo obligado a aceptar un nuevo sistema de administración de servicios que NO FUNCIONARÁ a menos que use la contraseña sa. Nunca tuve tiempo de averiguar por qué al configurar una evaluación, pero el equipo del servidor intentó instalarla para usar una función fija que había configurado incorporando db_creater y otros permisos que pensé que requerirían. que falló Luego dejé que el equipo del servidor se instalara con la cuenta sa pero se ejecutara bajo una cuenta en el rol dbo para su base de datos, pero eso también falló. Malhumorado, intenté que funcionara con una cuenta en el rol de administrador del sistema, pero incluso eso falló y no con mensajes de error útiles que me permitieron resolver lo que estaba sucediendo sin pasar más tiempo del que tenía disponible. Solo funcionará con la cuenta sa y la contraseña almacenada en texto sin cifrar en el archivo de configuración.
Cuando pregunté esto y el equipo del servidor habló con el proveedor, obtuvieron la preocupante respuesta de '¿Cuál es el problema con eso?' y luego 'bueno, podemos ver cómo codificar la contraseña' codificando ffs
Sé que hay formas y medios para restringir el acceso al archivo, pero en mi opinión, es solo otra debilidad en la seguridad.
De todos modos, mi pregunta es, ¿alguien podría señalarme alguna documentación que pueda usar para explicarle al negocio la razón por la cual esto es algo malo y debería ser un gran no? Trabajo en un campo que significa que necesito tomarme en serio la seguridad y he estado luchando para que el negocio entienda y, en última instancia, puede ser superado de todos modos, pero tengo que intentarlo.
sa
explícitamente.
sa
o algún miembro desysadmin
, incluidos los inicios de sesión de Windows?