Sev*_*vki 10 security sql-server
像 sa 这样的已知帐户名是否对数据库构成安全威胁?在 SQL Server 上使用 Windows 身份验证时,它是否强加了相同的密码策略(如果设置为 5 次后帐户锁定)?
Dav*_*ett 11
像 sa 这样的已知帐户名是否对数据库构成安全威胁?
具有已知名称的“上帝”用户帐户通常被认为比名称不那么知名的上帝用户更糟糕。它使蛮力攻击更容易一些,因为攻击者只需猜测密码,而不是用户名和密码。
无论如何,拥有一个上帝用户可能是危险的。通常最好让特定用户对他们需要做的事情具有特定的权限。这种基于特权的安全性从头开始实施比以后改造到您的环境更容易。
在 SQL Server 中禁用 sa 并根据需要为特定用户提供特定的管理员权限与在 Linux 和类似情况下根据root需要禁用和分发管理员权限的建议基本相同sudo。如果出现sa任何问题,您始终可以在直接连接到具有足够权限的计算机后重新启用,并且您最终会放弃用户操作(并解决问题)所需的所有权限,就像您可以设计对 Linux 的 root 访问权限一样box 如果您可以物理访问该框 - 因此禁用该帐户不是灵丹妙药(但是一旦攻击者可以物理访问您的机器,或者通过 RDC 或 SSH 进行完全管理访问,无论如何所有赌注都将关闭)。
在 SQL Server 上使用 Windows 身份验证时,它是否强加了相同的密码策略(如果设置为 5 次后帐户锁定)?
使用 Windows 集成身份验证时,SQL 服务器无法控制帐户锁定等 - 它只是将 Windows 用户映射到 SQL 用户并要求操作系统担保用户已提供适当凭据的事实。对于交互式人类用户,这意味着任何锁定都会在用户尝试使用 Windows 进行身份验证时发生,而不是在他们登录到 SQL Server 时发生。