SA에서 연결된 서버를 보호 할 수 있습니까

Question

서버에 타사 공급 업체 소프트웨어를 설치했습니다. 그들은 sa 계정을 사용하여 해당 서버와 sql-server에 대한 모든 액세스 권한을 갖습니다. 트리거가 원격 컴퓨터의 데이터를 업데이트 할 수 있도록 연결된 서버를 설정하려고합니다. sa 계정에 대한 액세스 권한은 반드시 연결된 서버에 대한 모든 액세스 권한을 갖거나 sa로부터 자신을 보호 할 수있는 방법입니까?

편집 : 우리는 서버에 모든 권한을 부여하기를 원하기 때문에 서버를 완벽하게 제어하려고합니다. 그것은 작동을 멈 추면 우리를 비난합니다. "헤이, 우리는 그것을 건드리지 않았다. 당신은 그것을 고쳐 줬다. 그렇게하면 소프트웨어를 작동시키기 위해 필요한 모든 것을 할 수 있지만 샌드 박스 환경에 있습니다. 최종 레코드를 데이터베이스에서 가져 와서 프로덕션 데이터베이스에 삽입하기위한 방아쇠가 필요합니다. 이를 위해서는 우리가주고 싶지 않은 권한이 필요합니다. 이 질문은 그 코 밑에있는 모래 상자가있는 환경에서 암호를 저장하는 방법이 있는지 묻는 것이 었습니다. 말하자면.

Answer 1

명명 된 사용자를 사용하도록 링크 된 서버를 설정할 수 있습니다. 타사 계약자는 링크의 "반대쪽"을 볼 수 있지만 해당 명명 된 사용자에게 부여 된 권한으로 만 볼 수 있습니다.

Answer 2

아무에게도 SA 계정에 대한 액세스 권한을 부여하지 마십시오.

대신 전체 시스템 수준 권한이있는 경우에도 명명 된 사용자 계정을 제공하십시오.

두 번째로 연결된 서버는 명명 된 사용자로 설정되어 다른 쪽에서 명명 된 사용자로 가장 할 수 있습니다. 첫 번째 서버에 대한 전체 권한을 가진 계정이 있으면 다른 서버에 연결할 수 있습니다. 원격 서버에 대한 액세스 권한이 부여 된 사용자 계정의 암호를 변경하는 것만 큼 간단합니다.

다른 항목으로 이동합니다. 상자에 넣지 않은 이상 외부 엔티티에 모든 권한을 부여하지 마십시오. 이상한 이유로 다른 선택의 여지가 없다면이 서버에서 프로덕션 서버로 데이터를 전송하는 다른 방법을 찾아야합니다.

한 가지 방법은 원격 서버가 픽업을 위해 모니터링 할 디렉터리의 데이터를 삭제하는 SSIS 패키지를 설정하는 것입니다. 이것이 약간의 복잡성을 추가하지만, 결국 당신의 물건이 여전히 안전하다는 것을 의미합니다.

마지막으로 링크 된 서버는 일반적으로 비정상적인 것으로 악명이 높습니다. 데이터를 전송하는 다른 방법을 찾는 것이 훨씬 낫습니다 ... SSIS 방법을 사용하는 것과 같습니다.