मैं यह कहते हुए यह सब करने जा रहा हूं कि मैं यह धारणा बना रहा हूं कि आप आंतरिक निजी नेटवर्क पर आंतरिक वेब सर्वर के बारे में बात कर रहे हैं।
चलो मशीन लगाने के साथ शुरू करते हैं। यदि एप्लिकेशन पूल पहचान नेटवर्क सेवा है और .NET अनुप्रयोग में कोई प्रतिरूपण नहीं है, तो हां, वेब एप्लिकेशन मशीन के कंप्यूटर खाते का उपयोग करके बैक-एंड SQL सर्वर से कनेक्ट होगा। और इसका मतलब है कि आपने उक्त मशीन खाते तक पहुंच प्रदान की है। Microsoft का CRM इस तरह काम करता है।
हालाँकि, यदि आपने कोई पहचान निर्दिष्ट की है, तो उस उपयोगकर्ता खाते को SQL सर्वर तक पहुँच की आवश्यकता होगी। जब आप सही होते हैं कि यदि कोई हमलावर वेब सर्वर से समझौता करता है तो उनके पास प्रभावी रूप से पहचान खाते के समान पहुंच होती है, इस मामले की सच्चाई यह है कि SQL सर्वर लॉगऑन का उपयोग करने से यहां कुछ भी नहीं बदलता है। एक बार जब मेरे पास पहुंच होती है, तो मैं वेब एप्लिकेशन को संशोधित कर सकता हूं कि मैं क्या चाहता हूं और यह होगा, बैक-एंड SQL सर्वर पर आपके सुरक्षा परमिट को अधिकतम करने के लिए।
अब SSPI का उपयोग क्यों करें। और सबसे पहले, आप SQL सर्वर आधारित लॉगिन का उपयोग नहीं कर रहे हैं। इसका मतलब है कि सक्रिय निर्देशिका सुरक्षा के लिए एकमात्र स्रोत है। इसका मतलब है कि आपके पास अमान्य पहुंच का निर्धारण करने के लिए सामान्य ऑडिट साधन है। दूसरा, इसका मतलब है कि जब तक कि अन्य एप्लिकेशन की आवश्यकता नहीं है, तब तक आप अपने SQL सर्वर को केवल विंडोज प्रमाणीकरण में छोड़ सकते हैं। इसका मतलब है कि कोई SQL सर्वर लॉगिन की अनुमति नहीं है। इसका मतलब है कि सा के खिलाफ कोई भी हमला शुरू होने से पहले ही रोक दिया जाता है। और अंत में, यह वसूली को आसान बनाता है। यदि आप SQL सर्वर आधारित लॉगिन का उपयोग करते हैं, तो आपको SID और एन्क्रिप्टेड पासवर्ड के साथ लॉगिन निकालना होगा। यदि आप एक नए SQL सर्वर पर लॉग इन बनाकर, "सेवा खाता" के रूप में विंडोज आधारित उपयोगकर्ता खाते का उपयोग कर रहे हैं,