Rea*_*ces 11 security sql-server sql-server-2008-r2 password
我最近进入了一个环境,其中许多数据库登录都没有enforce_password_policy启用该标志。
即将进行的审计需要验证这些登录的密码。
我使用以下查询来获取登录列表以及标志是打开还是关闭。
select
@@SERVERNAME as servername,
name,
IS_SRVROLEMEMBER('sysadmin', name) as SYSADMIN,
type_desc,
create_date,
is_policy_checked,
is_disabled,
password_hash,
PWDCOMPARE(name, password_hash) as UsernameAsPassword
FROM sys.sql_logins
但是,这并不能告诉我密码是否确实符合密码策略,因为该标志仅在创建用户时相关。
是否有已知的方法来测试现有用户的密码策略合规性?
我无法访问旧密码,我更喜欢不需要它们的方法。
Aar*_*and 15
这可能不是你的用户中流行,但我相信你能肯定知道的唯一办法是强制与每个SQL登录密码更改CHECK_POLICY = ON。这将生成一组ALTER LOGIN带有空白密码的命令,您可以更新查询,为它们提供一个通用密码,或者使用单独的密码手动更新每个 - 只需确保它们符合您的策略。当然,您需要确保密码策略与您预期的一样复杂,并且已启用(控制面板 > 管理工具 > 本地安全策略 > 帐户策略 > 密码策略 > 密码必须满足复杂性要求)。
SELECT N'ALTER LOGIN ' + QUOTENAME(name)
+ N' WITH PASSWORD = N'''' MUST_CHANGE, CHECK_POLICY = ON;'
FROM sys.sql_logins
--WHERE is_policy_checked = 0;
史蒂夫·琼斯(Steve Jones)不久前就写过这方面的文章。请注意 - 由于我在下面发现的内容 - 您不能指望is_policy_checked = 1密码实际上符合您当前的策略,因为登录名可能是使用散列密码创建的(在这种情况下,纯文本密码不能已检查)或在禁用本地复杂性策略时(仍会导致is_policy_checked = 1)。
我以为会工作的另一种方法是尝试创建一个副本,每次登录与他们目前password_hash与CHECK_POLICY = ON和记每一个失败的。但是,这不起作用- 即使使用CHECK_POLICY = ON,它也不会对已经散列的密码执行任何验证。我将包括子孙后代的代码 - 但是,根据设计,根本无法检查该策略。
SELECT N'BEGIN TRY
CREATE LOGIN ' + QUOTENAME(N'copy_of_' + name)
+ N' WITH PASSWORD = '
+ CONVERT(NVARCHAR(255), password_hash, 1)
+ ' HASHED, CHECK_POLICY = ON;
DROP LOGIN ' + QUOTENAME(N'copy_of_' + name) + ';
END TRY
BEGIN CATCH
IF ERROR_NUMBER() = 15118
PRINT N''' + REPLACE(name, '''', '''''')
+ N' was not complex enough.'';
END CATCH'
FROM sys.sql_logins;
就个人而言,我认为这是一个错误。如果语法允许我使用散列密码创建登录,并且我可以规定该密码必须符合我的复杂性策略,它应该生成一个错误或警告,表明该策略实际上没有被检查。
更新:我针对此行为提交了一个错误。