[微软的项目管理]1. 管理机制组织架构产品开发行政结构,一个Product Unit Manger,下设三个平级的部门经理,团队项目经理(Product Unit Manager),软件开发经理(Development Manager)和测试经理(...+阅读
当管理SQL Server内在的帐户和密码时,我们很容易认为这一切都相当的安全。毕竟,你的SQL Server系统被保护在防火墙里,而且还有Windows身份验证的保护,所有用户都需要密码才能进入。这听起来非常的安全,特别是当你认为所有人都这么做的时候。可实际上,它并不像我们想象得那么安全。
在这里,我们列出了一些对于SQL Server密码来说非常危险的判断:
密码测试无需计划
当进行测试时,直接就开始尝试破解密码将是一个很大的错误。无论你是在本地还是通过互联网进行测试,都强烈建议你获得权限,并建议一个帐户被锁定后的回滚方案。最后你要做的就是确保在账户被锁定时,数据库用户无法进行操作,而且与之相连的应用程序也将无法正常运行。
通过互联网,密码仍然是安全的
对于通过混合方式实现的SQL Server,你可以很容易的通过一些分析软件(比如OmniPeek、Ethereal)立刻从网上抓到它的密码。同时,Cain and Abel可以用来抓取基于TDS的密码。你可能以为通过内网交换机就可以避免这一问题?然而,Cain的ARP中毒路由功能就可以很轻松的破解它。在大约一分钟之内,这个免费软件就可以攻破你的交换机,并看到本地网络的内部数据交换,从而帮助其它软件更容易的抓取密码。
事实上,问题并没有就此结束。有些误解认为在SQL Server中使用Windows身份验证是很安全的。然而,事实并非如此。上述软件同样可以迅速的从网上抓到Windows、Web、电子邮件等相关的密码,从而获得SQL Server的访问权限。
通过使用密码政策,我们就可以不用测试密码
无论你的密码政策有多严厉,却总会有一些办法可以绕开它。比如现在有一个未进行配置的服务器、一个Windows域外的主机、一个未知的SQL Server或者一些特殊的工具,它们可以破解壮的密码。这些东西就可以利用你密码的弱点并是你的代码政策变得无效。
另外,同样重要的是,有些测试结果可能会说由于你的密码已经非常强壮,你的数据库很安全,但你千万不要轻信。一定要自己在测试并验证一下,密码缺陷是否还在。尽管你可能会觉得一切都很好,但实际上你可能落掉了一些东西。
你只需担心你主数据库服务器
既然SQL Server密码是不可重获的,那如果我知道他很强壮、很安全,考试&emsp大提示有为什么要破解他呢?
事实上,SQL Server的密码是可以重获的。在SQL Server 7和SQL Server 2000中,你可以使用像Cain and Abel或者收费的NGSSQLCrack这种工具来获得密码哈希表,而后通过暴力对其破解进行攻击。这些工具使你可以对SQL Server密码SHA哈希表进行反向工程。尽管破解的结果并不能够保证,但它确实是SQL Server的一个弱点。
Microsoft Baseline Security Analyzer是一个用来根除SQL Server弱点的工具,但他并不完善,特别是在密码破解方面。对于深层的SQL Server和Windows密码破解,我们需要使用第三方软件,如免费的SQLat和SQLninja(可以在SQLPing 3中找到)和Windows密码破解工具,如ElSoft's Proactive Password Auditor和Ophcrack。
此外,使用在SQL Server中使用Windows身份验证并不表示你的密码就是安全的。一些人只要了解如何破解Windows密码,在花一些时间,就可以破解你的密码并控制整个网络。特别是,如果他们使用Ophcrack's LiveCD来攻击一个物理上不安全的Windows主机,比如笔记本电脑或者易可达的服务器,那将变得更加容易。
我们很容易把关注点集中在自己的SQL Server系统上,而忽略了网络中可能有的MSDE、SQL Serve Express和其它一些可能的SQL Server程序。这些系统可能正在使用不安全的默认设置,甚至根本就没有密码。通过使用SQLPing 3这样的工具来对数据库服务器上的这些系统进行攻击,你将很容易地被破解。
IT像其他东西一样,你总是被一些细节所打倒。如果可以抛弃这些对SQL Server密码的危险判断,你必将改善你的SQL Server的安全。
本文地址:https://www.39baobao.com/show/31_14576.html
以上内容来自互联网,请自行判断内容的正确性。若本站收录的信息无意侵犯了贵司版权,请联系我们,我们会及时处理和回复,谢谢.
以下为关联文档:
SQLServer数据库内存会不断增加的问题分析当 SQL Server 数据库引擎在 Microsoft Windows NT 或 Windows 2000 上运行时,其默认内存管理行为并不是获取特定的内存量,而是在不产生多余换页 I/O 的情况下获取尽可能多的...
SQLServer2008的管理能力Microsoft SQL Server 提供了一个用于管理一个或多个SQL Server实例的基于政策的系统和用于性能监控、故障排除和调整的工具,使得管理员能够更有效的管理他们的数据库和SQL S...
分析微软SQLServer2008的精妙之处SQL Server 2008是一个重大的产品版本,它推出了许多新的特性和关键的改进,使得它成为至今为止的大和面的SQL Server版本。这篇文章详细介绍了Microsoft SQL Server 2008中的新...
SQLServer数据库管理员必备的DBCC命令2DBCC CHECKDB。检查指定数据库中所有对象的分配、结构和逻辑完整性。DBCC CHECKDB[('database_name' | database_id | 0[ , NOINDEX| { REPAIR_ALLOW_DATA_LOSS| REP...
使用SQLServer2008管理非结构化数据microsoft SQL Server 2008提供了一个灵活的解决方案,使得可以存储非结构化数据,并将它与关系数据合并起来建立使用整个公司范围内的数据的综合的解决方案。1. 导言在最近几...
SQLServer可管理性和企业可伸缩性可管理性通过统一化的管理工具,增强的自我调优能力,以及强大的编程管理模型,SQL Server 2008强化了SQL Server 在易用性方面的领导地位并提高了数据库管理员的生产力。这些改...
SQLServer简化商业智能解决方案的开发SQL Server 2008简化了商业智能解决方案的开发过程。商业智能开发人员将从易使用的功能和工具中获益,这些功能和工具可以加强控制并自动进行例行操作和耗时的任务,从而使得SQ...
SQLServer扩展用户的商业智能解决方案过去,商业智能解决方案只被少数商业分析师所使用。现在,越来越多的公司认识到将商务智能所提供的洞察力扩展给所有员工并且将这些洞察力融入到日常工作中所带来的好处。 SQL S...
远程连接SQLServer2000服务器的解决方案远程连接SQL Server 2000服务器的解决方案: 需求如下:需要远程连接外地的SQL Server 2000服务器。 测试条件:一个公网IP,两个静态IP。 具体步骤: 一、ping服务器IP能否ping通 观...