Что считается более безопасным для безопасности сервера sql

Question

Что считается более безопасным для безопасности сервера sql

При настройке безопасности в SQL Server 2005 / 2008. Что является более безопасным вариантом?

Только режим аутентификации Windows
Смешанная аутентификация

Имеет ли значение, если к серверу будут обращаться многие настольные клиенты (толстые клиенты) или к нему будут обращаться несколько веб-серверов?

редактировать

И почему это более безопасно? Использование проверки подлинности Windows означает, что мы можем избежать размещения строки подключения в файле конфигурации, что является плюсом.

Аутентификация Windows также позволяет нам контролировать, кто получает доступ на основе их учетных данных NT, что, я думаю, идеально, когда ваши клиенты подключаются напрямую к серверу.

Однако мне всегда интересно, насколько полезна проверка подлинности NT, когда все клиенты проходят через прокси-сервер, такой как веб-служба.

3

security sql-server sql-server-2008 sql-server-2005

Источник

JoshBerke 01 май '09 в 04:06

4 ответа

Решение

Аутентификация Windows более безопасна в первую очередь потому, что имя пользователя и пароль не передаются в строке подключения. Источник данных =myServerAddress; Начальный каталог =myDataBase; Интегрированная безопасность =SSPI;

В отличие от источника данных =myServerAddress; начальный каталог =myDataBase; идентификатор пользователя = myUsername; пароль = myPassword;

5

Источник

CPU_BUSY 01 май '09 в 04:13

По сути, аутентификация Windows является рекомендуемой аутентификацией. Теоретически это безопасно, то есть если у вас уже есть хорошая сетевая безопасность.

1

Источник

MarlonRibunal 01 май '09 в 04:55

Более безопасным является режим аутентификации Windows Только при условии, что у вас в целом хорошая сетевая безопасность.

Не могли бы вы немного подробнее рассказать о ваших текущих настройках и потребностях?

1

Источник

Brian Boatright 01 май '09 в 04:13

Другие вопросы по тегам security sql-server sql-server-2008 sql-server-2005

K. Brian Kelley 01 май '09 в 04:32 2009-05-01 04:32 · Accepted Answer · 2009-05-01 04:32

Проверка подлинности Windows считается более безопасной. Вот почему:

Вы можете использовать аутентификацию Kerberos. Протокол Kerberos имеет временную метку, которая предотвращает повторные атаки. Это также позволяет клиенту проверять подлинность сервера с помощью доверенной третьей стороны (в реализации Active Directory это DC).
Это позволяет использовать один источник безопасности: Active Directory. Поэтому после закрытия учетной записи в Active Directory она отключается везде.
В версиях SQL Server до SQL Server 2005 пакет входа в систему не шифровался автоматически. То, как пароль передавался в сети, было легко расшифровать, поскольку речь идет о переключении битов старшего и младшего разрядов и операции XOR.
Существует тот факт, что вам не нужно вводить пароль в строку подключения, но есть и другие способы обойти это. Например, шифрование имени пользователя / пароля и сохранение его в реестре, а затем построение строки подключения во время выполнения.
Вход в SQL Server будет отслеживаться в журнале событий безопасности вместе с другими входами в Windows, если такие параметры аудита включены (и они должны быть). Это означает, что если у вас есть программное обеспечение для анализа / агрегирования журналов для ваших серверов, вам не нужно обязательно анализировать журнал событий приложения или файл журнала SQL Server.

Что касается того, где у вас есть одна учетная запись из веб-службы, у вас все еще есть те же преимущества, которые я перечислил выше.