二、取消默认账户不需要的权限

　　在建立账户的时候，服务器往往给给其一些默认的权限。如在数据库中，Public是授予每个用户的默认角色。任何用户，只要没有指定具体的角色，则其都可以授予Public组的权限。这其中，还包括执行各种SQL语句的权限。如此，用户就有可能利用这个管理漏洞，去访问那些不允许他们直接访问的包。因为这个默认权限，对于那些需要他们并且需要合适配置和使用他们的应用来说，是非常有用的，所以，系统默认情况下，并没有禁止。但是，这些包可能不适合与其他应用。故，除非绝对的需要，否则就应该从默认缺陷中删除。

　　也就是说，通常某个账户的默认权限，其是比较大的。如对于数据库来说，其账户的默认权限就是可以访问所有的非系统对象表。数据库设计的时候，主要是为了考虑新建用户的方便。而且，新建用户的时候，数据库确实也无法识别这个用户到底能够访问哪些用户对象。但是，对于企业应用系统来说，若给每个员工都默认具有这么大的访问权限，那则是很不安全的。

　　笔者的做法是，会把应用系统的默认用户权限设置为最小，有些甚至把默认用户权限全部取消掉。这就迫使服务器管理员在建立账户的时候，给账户指定管理员预先设定的角色。这就可以有效的防止管理员“偷懒”。在建立账户的时候，不指定角色。