Содержатся пользовательские разрешения

Question

У меня есть база данных SQL на каждом клиенте.Клиент настроен как отдельный пользователь для своей собственной базы данных со следующими разрешениями (ALTER, CONTROL, DELETE, EXECUTE, INSERT, SELECT, UPDATE, CONNECT, VIEW DATABASE STATE).

Я не противклиент вносит какие-либо изменения в свою схему базы данных, но возможно ли внести какие-либо изменения в логический сервер или получить доступ к любым другим базам данных на том же сервере?Является ли основной риск безопасности клиентом, создающим других пользователей в своей базе данных?

https://docs.microsoft.com/en-us/sql/relational-databases/databases/security-best-practices-with-contained-databases?view=sql-server-2017

Заранее спасибо.

Answer 1

Если ваш пользователь базы данных не создан на основе логического логина сервера, у вас нет разрешения на доступ к нескольким базам данных.

Пожалуйста, укажите: Управление и предоставление доступа к базе данных базы данных SQL иХранилище данных SQL

Как указала предоставленная вами ссылка:

Пользователи в автономной базе данных, имеющие разрешение ALTER ANY USER, такие как члены предопределенных ролей базы данных db_owner и db_securityadmin,может предоставить доступ к базе данных без ведома или разрешения администратора SQL Server.Предоставление пользователям доступа к автономной базе данных увеличивает область потенциальной атаки на весь экземпляр SQL Server.

Когда клиент создает других пользователей базы данных, будьте очень внимательны, предоставляя пользователям разрешение ALTER ANY USER.