欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

等保测评2.0:SQLServer身份鉴别(上)

来源:本站整理 作者:佚名 时间:2020-02-16 TAG: 我要投稿

一、说明
本篇文章主要说一说SQLServer数据库中身份鉴别控制点的中a、b测评项相关内容和理解。
二、测评项
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
三、测评项a
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
3.1. 测评项a要求1
应对登录的用户进行身份标识和鉴别
身份标识功能(用户名)就不用说了,属于SQLServer自带功能。而对用户进行鉴别也就是登录时需要你输入用户名、口令的行为。
对于SQLServer而言,一方面自然是不能存在空口令账户,还有在使用Microsoft SQL Server Management Studio时不能勾选记住记住密码。
另外一方面,由于SQLserver数据库中的登录名中可以添加Windows系统账户,也就是可以使用Windows系统账户的身份登录。当使用Microsoft SQL Server Management Studio连接数据库时,选择Windows身份验证,Microsoft SQL Server Management Studio会自动读取当前的操作系统账户,如果SQLServer数据库中的登录名添加了该操作系统账户,且没有被禁用,则无需口令即可登录(这里我在登录名中没有添加这个账户,所以登录失败):

这种方式实际是相当于借用了windows的身份验证机制,也就是你如果能登录Windows系统,那么我(SQLSERVER)就不进行第二次验证了。
SQLServer数据库可以设置身份验证方式,这里符合要求的话应该选择SQLserver和Windows身份验证模式:

那么总结下来,对于这个要求,服务器身份验证方式要选择SQLserver和Windows身份验证模式,SQLServer的账户不能存在空口令,且服务器的登录名中要么禁用了Windows操作系统账户,要么直接删除。
如果禁用,在这里可以在登录名的属性中单独进行设置:

这里的是否允许连接到数据库引擎和是否启用登录,对于不属于服务器角色sysadmin的账户而言,其中任何一个拒绝或禁用,该账户都不能登录,好像没啥区别,我发现的区别就是登录时错误提示不一样以及账户图标的变化不一样。
如果是是否允许连接到数据库引擎选择拒绝,则登录时错误提示如下:

同时账户图标无变化。
如果是登录选择禁用,则登录时错误提示如下:

同时,账户图标会多一个向下的箭头:

对于属于服务器角色sysadmin的账户而言,是否允许连接到数据库引擎中选择拒绝,对该账户无效,此账户仍然可以登录数据库。服务器角色sysadmin在这里设置:

更多的区别,大家可以自行百度。
3.2. 测评项a要求2
身份标识具有唯一性
即用户名或用户ID不能重复,这个不用多说,SQLServer自动实现,默认符合。
3.3. 测评项a要求3
身份鉴别信息具有复杂度要求
这个要从两个方面看,我个人觉得两个方面都符合才能算达到要求。
第一个方面即实际的口令是否具有一定的复杂度,也即口令至少8位,且包含大写字母、小写字母、数字、特殊字符这四类字符种的三种,且口令不包含简单排列规律,如admin!@#123此类弱口令。
第二个方面即SQLServer是否进行了口令复杂度策略的设置,强制要求口令具有一定的复杂度,也即在SQLServer的口令复杂度策略中进行了设置。
但是SQLServer数据库和Windows操作系统的耦合比较深,SQLServer自身没有口令复杂度策略设置功能,它是通过NetValidatePasswordPolicy API,使用Windows操作系统的校验函数来校验SQLServer中数据库账户的口令复杂度。说得再明白一点,SQLServer实质使用的是Windows组策略中的密码策略:

SQLServer本身能决定的就是是否去引用Windows组策略中的密码策略中,在每个登录名的属性中:

这里如果勾选了强制实施密码策略则代表引用了Windows组策略中的一部分密码策略,经过试验,它引用了密码必须符合复杂性要求、密码长度最小值这两个策略,至于强制密码历史、用可还原的的加密储存密码这两个策略,并未引用。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载