Ich berate einen Freund, der eine SQL 2k5 Box verwaltet, die mehrere Benutzer hat, die Zugriff auf mehrere Datenbanken haben. Das Problem ist:
- Diese Benutzer haben ihre Passwörter seit einigen Monaten nicht mehr geändert,
- Diese Benutzer geben ihre IDs in Anwendungen ein, und die Anwendungen laufen als DBO.
Also - abgesehen von den offensichtlichen dbo-Rechten zum Hinzufügen/Aktualisieren/Löschen von Tabellen und Prozessen, welche Gefahren kann ich für einen böswilligen Benutzer mit dbo für eine SQL 2005-Datenbank anführen?
Ich möchte konkrete Szenarien nennen, die der Datenbank und anderen Benutzern schaden. Könnte ein DBO die Dateizuweisungen auf dem Server ändern? Könnte ein DBO andere Ressourcen beeinflussen, die nicht direkt mit dieser Datenbank verbunden sind?
Zur Klarstellung: Dies war SQL Server 2005, und standardmäßig war xp_cmdShell für DBO-Benutzer nicht autorisiert. Ich frage mich immer noch, ob es Risiken gibt, die über das offensichtliche CRUD hinausgehen. Was kann jemand mit DBO tun?