Ele fornece um limite de segurança. O SQL Engine precisa de acesso a coisas para as quais o agente SQL não precisa de acesso. Você só deve dar direitos a qualquer conta para os itens de que precisa.
Estou me preparando para o exame da Microsoft 70-432 SQL Server 2008. No livro que eu li, é altamente recomendável que você use o login separado para cada serviço SQL. Mas eu não consigo entender o que é um benefício em usar um usuário separado?
Por favor, deixe-me saber se alguém tem uma idéia sobre isso.
Atenciosamente, fayalif
Ele fornece um limite de segurança. O SQL Engine precisa de acesso a coisas para as quais o agente SQL não precisa de acesso. Você só deve dar direitos a qualquer conta para os itens de que precisa.
Este é um conselho estelar para serviços todos , não apenas aqueles associados ao SQL Server. É muito bom conselho criar uma conta de usuário personalizada para qualquer serviço que você execute (além daqueles que vêm com o próprio sistema operacional). Conceda somente as permissões que o serviço precisa para sua conta de usuário e não execute nenhum outro serviço usando essa mesma conta de usuário (a menos que seja absolutamente necessário; os serviços bem projetados não devem exigir o uso da mesma conta de usuário nos serviços).
Digamos, por exemplo, que um invasor descubra uma vulnerabilidade de saturação de buffer no serviço X. Se ele conseguir explorar isso para executar código arbitrário no serviço X, ele agora terá o controle da conta de usuário na qual o X está sendo executado. E se ele sabe alguma coisa sobre a programação do sistema Windows, ele poderá obter rapidamente acesso a quaisquer outros serviços que estejam sendo executados nessa mesma conta. Ele poderá acessar quaisquer recursos de rede que esses serviços também possam acessar e talvez começar a atacar outras máquinas a partir de lá.
Outro problema com o uso da mesma conta para vários serviços é que ela tem a tendência de reunir privilégios. É como uma bola de neve: cada serviço adicional que é executado sob a conta do usuário requer um conjunto diferente de privilégios, para que você tenha que adicionar mais privilégios a essa conta de usuário. Sem mencionar que, ao mesmo tempo, você está adicionando mais e mais área de superfície de ataque (mais serviços) que um invasor pode perseguir. Você está simultaneamente fornecendo um alvo mais suculento e enfraquecendo suas defesas ao mesmo tempo.
HTH
Segurança. Se você tiver dois bancos de dados diferentes, poderá designar usuários diferentes; Dessa forma, se um serviço for invadido, ele será limitado a seus próprios dados. Quando você atribui usuários diferentes, supõe-se que você também esteja configurando a segurança de arquivos conforme apropriado.