 |
 |
 |
|
 |
||
 |
|
|||||
 |
| Заказные курсы | |||
|
|
|
|
| Официальные курсы | |||
|
|
|
|
| Модули к курсам | |||
|
|
|
|
| Книги | |||
|
|
|
|
| Расписание | |||
|
|
|
|
| Контакты | |||
|
|||
 |
 |
Главная / Заказные курсы / Microsoft SQL Server для профессионалов |  |
Получить учебные материалы по этому курсу |
||
| <-- Назад | Читать дальше --> | |
9.3 Пароли для учетных записей для входа на SQL Server
Пароли логинов SQL Server 2000, перебор паролей по словарю и грубой силой, NGSSQLCrack, SQLBF, SQLHF, ForceSQL, SQL Server Dictionary Attacker, применение парольных политик для логинов SQL Server 2000
Во время аутентификации при подключении на SQL Server пользователь может использовать один из двух типов учетных записей (logins):
· login Windows - рекомендуется Microsoft, но на практике на предприятиях используется реже;
· login SQL Server - Microsoft рекомендует использовать только в тех ситуациях, когда нет домена Windows, однако такая схема используется на большинстве предприятий.
При использовании Windows login аутентификация происходит во время входа пользователя в сеть. Особой крепостью пароли учетных записей Windows не отличаются, существует множество утилит, которые позволяют их раскрывать (подробнее об этом - в курсе по безопасности Windows). В этом модуле будут рассмотрены только рекомендации, связанные с использованием SQL Server login:
· провести аудит паролей пользователей, выявляя совсем слабые пароли, можно при помощи средств аудита:
o Audit.sql - простой скрипт, который выявляет пустые пароли и проводит взлом паролей по словарю (таблица dict в базе данных). Находится на компакт-диске;
o более мощные средства - утилита NGSSQLCrack и набор скриптов sql2kpwdtools (также на компакт-диске). Они позволяют проводить перебор паролей как по словарю, так и путем перебора символов. Пароли длиной 5 символов путем перебора на компьютере с процессором 1000 Мгц подбираются в среднем за 24 секунды;
· удаленную атаку по словарю можно провести при помощи утилиты SQL Server Dictionary Attacker (на компакт-диске). Рекомендуется проверить крепость паролей своих пользователей;
· производить удаленные атаки грубой силой (по набору пользователей, по набору серверов и т.п. можно при помощи утилит SQLBF, SQLHF, ForceSQL (на компакт-диске));
· убедиться в том, что пользователи могут при смене пароля использовать только сильные пароли, можно только изменив определение хранимой процедуры sp_password или специальные средства. Примеры - в каталогах EnforcePass и SP_PASSWORD на компакт-диске;
· чтобы вовремя узнавать о нарушениях (и попытках нарушений) системы безопасности, необходимо включить аудит на SQL Server и регулярно анализировать записи в журнале аудита.
| <-- Назад | Читать дальше --> |
Получить учебные материалы по этому курсу
|
© 2004-2008, Академия Специальных Курсов по Информационным Технологиям. Все права защищены. Разработка NevaStudio |
|
|
г. Санкт-Петербург, Васильевский остров, 20-я линия, д. 7 Офис 101, 2-й этаж Телефон: 8(812)922-47-60 E-mail: info@askit.ru |
 |
|
 |