在数据和服务器都需要保护,而且不想承受如今互联网上常见的无情攻击之际,Microsoft 开发了 SQL(SQL Server培训 mySQL培训 ) Server 2000。基本的验证问题依然存在:您是谁?您如何证明自己的身份?但是,SQL Server 2008 提供了更健壮的验证特性,对服务器的安全便捷有着更好的支持,放行好人并阻止坏人。
SQL Server Authentication 利用包含用户 id 和口令的简单连接字符串,为基于非 Windows的客户端或应用程序提供了验证机制。这种登录易于使用,很受应用程序开发人员的欢迎,它的安全性不如 Windows 验证机制,因此在验证机制中不推荐使用。
SQL Server 2008 改进了 SQL Server Authentication 选项。首先,默认情形下它利用 SQL 生成的证书支持通道的加密。管理员不必获取或安装有效的 SLL 证书,以确保 SQL 凭证流经的通道是安全的。由于 SQL Server 2008 自动生成这些证书,因此在传送登录数据包时,默认情形下它将自动加密通道。如果客户端使用 SQL Server 2005 或更新版本,即可使用该特性。
注意:SQL Server 生成的本地证书可保护被动的中间人攻击,其中的攻击者会嗅探网络。要更有效地系统免受被动中间人攻击,应部署并使用客户端也信任的证书。
SQL Server 2008 进一步增强了 SQL Server Authentication,因为在与 Windows 2003 服务器或更新版本一起使用时,默认情形下数据库引擎将利用Windows Group Policy 检查 SQL 登录的口令复杂度、口令过期日以及帐户锁定状态。这表示可以对 SQL Server 帐户强行应用 Windows 口令策略。
口令策略强制
有了SQL Server 2008,口令策略强制特性被内置到服务器中。作为 Windows Server 2003 NetAPI32库的一部分,SQL Server 利用 NetValidatePasswordPolicy() API 根据Windows 的口令强度、过期日和帐户锁定状态策略,在验证以及口令设置、重置期间验证口令的有效性。表3列出来构成该策略的各种设置。
表3 Windows Server 2003 口令策略组件
类别
名称
注释
口令策略
强行应用口令历史记录
防止用户重用旧口令,如交替使用两个口令。
最短的口令长度
口令必须满足复杂度要求
参见下文。
利用可逆加密存储口令
允许在 Windows 中检索口令。绝对不要启用该选项,除非应用程序的要求优先于安全口令的要求。(该策略不适用于 SQL Server。)
口令过期日
口令的最长存在时间
口令的最短存在时间
帐户锁定策略
帐户锁定持续时间
帐户锁定的持续时间(以分钟计)。当锁定阈值>0时,Windows 将启用该策略。
帐户锁定阈值
不成功登录尝试的最大次数。
时间到后即可重置帐户锁定计数器
多久之后 Windows 将重置不成功尝试的计数器。当锁定阈值>0时,Windows 将启用该选项。
如未运行 Windows Server 2003 或更新版本,SQL Server 仍利用简单的检查方法,强行应用口令强度,以阻止以下口令:
◆Null 或空口令
◆与计算机或登录名相同
◆Password、admin、administrator、sa、sysadmin 等口令
相同的复杂度标准被应用给在 SQL Server 中创建及使用的所有口令,包括 sa 登录的口令、应用程序角色、用于加密的数据库主密钥以及对称加密密钥。
SQL Server 默认情形下总会检查口令策略,但利用 CREATE LOGIN 或 ALTER LOGIN 语句,可取消对个别登录的强行应用,代码如下:
CREATE LOGIN bob WITH PASSWORD = 'S%V7Vlv3c9Es8',
CHECK_EXPIRATION = OFF, CHECK_POLICY = OFF
CHECK_EXPIRATION 使用 Windows Server 2003 策略的“口令最大和最小年龄”部分,而CHECK_POLICY 使用其他的策略设置。
管理设置还允许启用或关闭口令策略检查、启用或关闭口令过期检查,并在用户第一次登录时强行修改口令。CREATE LOGIN 中的 MUST_CHANGE 选项强行让用户修改下次登录时的口令。在客户端,它允许在登录时修改口令。所有新型客户端数据访问技术都支持该特性,包括 OLE DB 和ADO.NET 以及客户端工具,如 Management Studio。
如果用户的不成功登录次数过多,超出了口令策略允许的尝试次数,SQL Server 将根据 Windows 策略中的设置锁定该帐户。管理员可利用 ALTER LOGIN 语句取消锁定该帐户:
ALTER LOGIN alice WITH PASSWORD = '3x1Tq#PO^YIAz' UNLOCK
共2页: 1 下一页
【内容导航】
第 1 页:口令策略强制 第 2 页:端点验证
12下一页 |
