欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

等保测评2.0:SQLServer身份鉴别(上)

来源:本站整理 作者:佚名 时间:2020-02-16 TAG: 我要投稿
所以这个测评项要求对于SQLServer而言,一方面需要在各个登录名属性中勾选强制实施密码策略,另外一方面则需要在windows的密码策略中做相应的设置,否则就算引用windows的密码策略,也没有任何意义。
至于具体的windows的密码策略要如何设置,可看:等保测评2.0:Windows身份鉴别中查看。
除了使用图形化界面进行核查是否勾选强制实施密码策略,也可以使用SQL语句进行核查:
select * from sys.sql_logins;

这里的is_policy_checked就是强制实施密码策略
3.4. 测评项a要求4
要求并定期更换
和口令复杂度一样,一个方面是看实际的口令更换周期。
这里可以通过访谈相关人员或者直接核查配置,我推荐第二种方法。对于简单的、不复杂的问题还是自己查配置较好,你去访谈相关人员,对方基本也不会有什么证据,或者压根就不清楚,这种情况下,访谈的结果可靠性很难有保证。当然,访谈、核查都用也是可以的,对于口令更换周期,使用如下sql语句即可得知上一次口令更换时间:
SELECT name, LOGINPROPERTY([name], 'PasswordLastSetTime') AS 'PasswordChanged' FROM sys.sql_logins;

对于上述语句的LOGINPROPERTY,大家自己看看就明白了:LOGINPROPERTY (Transact-SQL)?redirectedfrom=MSDN)
另一方面,SqlServer的密码策略实际引用了windows的密码策略,在每个登录名的属性中的强制密码过期,引用了windows组策略中的密码最长使用期限:


这里要说的是,在登录名的属性中,只有先勾选了强制实施密码策略,才能勾选强制密码过期:

和密码策略一样,这里的设置只是决定是否应用windows密码更换策略,实际上为了达到要求,windows密码策略中应该也要进行相关设置。
除了使用图形化界面进行核查是否勾选强制密码过期,也可以使用SQL语句进行核查:
select * from sys.sql_logins;

这里的is_expiration_checked就是强制密码过期。
四、测评项b
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
4.1. 测评项b要求1
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数(等相关措施)
对于SQLServer而言,登录失败策略也是引用的Windows策略,勾选登录名的属性中的强制密码过期,即代表引用Windows组策略中的账户锁定策略:


被锁定后,输入正确密码登录SQLServer,会出现以下提示:

此时,登录其他账户去查看该账户的状态,会发现已经被锁定:

所以,这里也是需要在SQLServer和Windows中共同进行设置,才能起到效果。
4.2. 测评项b要求2
当登录连接超时自动退出
可以用sp_configure 'remote login time'进行查询:

不过实际上嘛,SQLServer涉及到超时策略的地方很多,具体可看:等保测评:SQLServer操作超时
五、总结
由上述可知,SQLServer不愧是微软全家桶的产品,在一些方面和Windows的耦合很深。所以我们实际进行测评时,一定要结合该数据库所在服务器的情况结合起来写测评结论。
 

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载