ملاحظات امنيتي در SQL Server Mixed Mode Authentication

قبل از هر چيز best practice مايكروسافت اينه كه تا جايي كه ممكنه از Windows authentication mode استفاده بشه

اوكي خيلي هم خوب ولي در بيشتر مواقع مجبوريم كه از mixed mode authentication استفاده كنيم

وقتي كه سرور رو نصب ميكنيد لاگين معروف و خطرناك SA بصورت پيش فرض ساخته  ميشه ولي وقتي كه شما سويچ ميكنيد به Windows authentication mode اين لاگين غيرفعال و پسوردي بصورت رندوم بهش اختصاص داده ميشه

خوب اين كارا برا چيه !!؟

تقريبا اولين كاري كه يه يوزر كنجكاو براي دسترسي به sql server انجام ميده اينه

SA

123 يا 1234 يا …

چرا چون SA يه لاگين جنريكه و بصروت پيش فرض تو همه سرور ساخته شده و اينجاس كه خطر Brute Force  سرور مارو تهديد ميكنه

خوب در Windows authentication mode  كه تكليفمون با SA مشخصه

ميمونه  mixed mode authentication كه نكات امنيتي زير رو ميشه رعايت كرد

1-پسورد مناسب و قوي براي SA (اگه خيلي قوي بود كه خودتون هم گمش كرديد اين پست ميتونه كمكتون كنه)

1-1-حتما بصورت دورهاي لاگين شدن هاي ناموفق رو برسي كنيد(اين خواصيت بصورت پيش فرض رو سرور فعاله)

EXEC sp_readerrorlog 0, 1, 'Login failed'



2-از يوزر SA براي مديريت سرور استفاده نكنيد (جالبه كانكشن استرينگ بعضي App ها از SA استفاده ميشه!)



خوب لاگيني كه قراره ازش استفاده نشه پس



1-2-غير فعالش كنيد




ALTER LOGIN sa DISABLE



3-اگه مورد 2 رو نميتونيد رعايت كنيد نام SA رو تغيير بديد




ALTER LOGIN sa WITH NAME = SA_ServerName



توجه كنيد هنگام آپگريد كردن از SQL Server 2005 به SQL Server 2008 ارور زير صادر ميشه براي رفع موقتا نام رو به SA برگردونيد




Wait on the Database Engine recovery handle failed.
Check the SQL Server error log for potential causes.



منابع:+  و +



 



در آخر با نزديك شدن فصل شيرين امتحانات يه مدت كوتاهي نيستم.التماس دعا

نظرات

پست‌های معروف از این وبلاگ

lnav ابزاری بسیار کاربردی برای پیمایش لاگ ها در لینوکس و البته مک

ساختن ایمیج های داکری به کمک BuildKit - بخش دوم

ساختن ایمیج های داکری به کمک BuildKit - بخش اول