Я очень долго искал, чтобы разобраться с проблемами безопасности в SQL Server. Мы разрабатываем приложение .NET для SQL Server 2008, и мы хотим использовать FileStream.

Теперь я обнаружил, что SQL Server разрешает FileStream только через Win32 API, если вы используете Integrated Security. Проблема в том, что у нас около 80% нашего приложения завершено, но оно полностью основано на аутентификации SQL. Таким образом, мы выполняем INSERT прямо из нашего приложения и не используем хранимые процедуры для каждой операции CRUD.

Это относительно безопасно, потому что я могу хранить имя пользователя и пароль SQL в зашифрованном виде. Я знаю, что пароль передается в виде открытого текста, но я готов принять это.

Мы хотим, чтобы конечные пользователи могли подключаться к базе данных с помощью таких инструментов, как Crystal Reports, и для этого у нас есть дополнительная учетная запись SQL, которая имеет только предоставленные права SELECT.

Теперь, если мы перейдем на Integrated Security, нам нужно будет предоставить отдельным пользователям (через группы AD и т. Д.) Права на то, что может делать приложение. В противном случае приложение не сможет выполнять свою работу. Но тогда конечный пользователь также будет иметь эти права, когда он подключается напрямую к БД.

Я вижу людей, которые говорят, что вы должны использовать хранимые процедуры для каждой операции CRUD и предоставлять права EXEC только группе AD, но как мне это сделать? Я не вижу, как у пользователя были бы разные полномочия, когда он подключался напрямую или через приложение ... Может кто-нибудь просветить меня в этом.

Дополнительный вопрос о бонусных баллах: насколько я понимаю, Intergrated Security не будет работать в рабочей группе. Как люди заставляют FileStream работать в рабочей группе? Или это считается невозможным?