[SEGURANÇA] TRUSTWORTHY habilitado + Usuário com db owner = Usuário com sysadmin ?

Estamos selecionando alguns dos momentos especiais das nossas power lives em vídeos curtos para atingir mais pessoas com esses conhecimentos.

Nesse vídeo o DIrceu fez uma demo mostrando o perigo de se habilitar a opção TRUSTWORTHY em uma Database.

Simulando um caso onde um DEV pediu para habilitar e o DBA que não sabe como funciona habilita, o Dirceu mostrou que com a opção TRUSTWORTHY habilitada, um login que é db_Owner consegue executar um comando fingindo que é o usuário sysadmin, assim ele pode colocar ele mesmo como sysadmin da instância. Foi exatamente isso que o DIrceu fez.

Ou seja, é um perigo essa configuração. Saibam com ofunciona e usem com moderação.

Em seguida teve um pequeno debate para discutir se vale a pena criar um usuário como db_owner mesmo ele sendo o dono da base, exemplo que acontece com os ERPs SAP e Protheus.

Gostou dessa parte da live, confira a live completa com Tássio Carlini, Gabrielly Saraiva, Dirceu Resende e Fabrício Lima

https://www.youtube.com/watch?v=nYD40ESy36U

Se inscreva no canal, curta e compartilhe com os amigos esse conhecimento.

#soupowertuning #lives #cortesdaslives #powertuning #microsoft #goldpartner

dirceu resendeblog dirceu resendesegurança