Назад | Перейти на главную страницу

Что считается более безопасным для безопасности sql server

При настройке безопасности на SQL Server 2005/2008. Какой вариант более безопасен?

Имеет ли значение, будут ли к серверу обращаться многие настольные клиенты (толстые клиенты) или несколько веб-серверов будут обращаться к нему?

редактировать

И почему он безопаснее? Использование проверки подлинности Windows действительно означает, что мы можем избежать включения строки подключения в файл конфигурации, что является плюсом.

Аутентификация Windows также позволяет нам контролировать, кто получает доступ на основе их учетных данных NT, что, на мой взгляд, идеально, когда ваши клиенты подключаются непосредственно к серверу.

Однако я всегда удивляюсь, насколько полезна аутентификация NT, когда все клиенты проходят через прокси-сервер, например веб-службу.

Проверка подлинности Windows считается более безопасной. Вот почему:

  • Вы можете использовать аутентификацию Kerberos. Протокол Kerberos имеет отметку времени, которая предотвращает атаки повторного воспроизведения. Это также позволяет клиенту проверять подлинность сервера с помощью доверенной третьей стороны (в реализации Active Directory это DC).
  • Это позволяет использовать единственный источник безопасности: Active Directory. Следовательно, как только вы закрываете учетную запись в Active Directory, она отключается везде.
  • В версиях SQL Server до SQL Server 2005 пакет входа в систему не шифровался автоматически. Способ передачи пароля по сети был легко расшифрован, поскольку мы говорим о переключении битов высокого и низкого порядка и операции XOR.
  • Дело в том, что вам не нужно вводить пароль в строку подключения, но есть другие способы обойти это. Например, шифрование имени пользователя / пароля и сохранение его в реестре, а затем создание строки подключения во время выполнения.
  • Входы в SQL Server будут отслеживаться в журнале событий безопасности вместе с другими входами в Windows, если такие настройки аудита включены (а они должны быть). Это означает, что если у вас есть программное обеспечение для синтаксического анализа / агрегирования журналов для ваших серверов, вам не нужно обязательно анализировать журнал событий приложения или файл журнала SQL Server.

Что касается того, где у вас есть одна учетная запись из веб-службы, у вас по-прежнему есть все те же преимущества, которые я перечислил выше.

Аутентификация Windows более безопасна, прежде всего потому, что имя пользователя и пароль не передаются в строке подключения. Источник данных = myServerAddress; Исходный каталог = myDataBase; Интегрированная безопасность = SSPI;

В отличие от Data Source = myServerAddress; Initial Catalog = myDataBase; User Id = myUsername; Password = myPassword;

По сути, рекомендуемая проверка подлинности Windows. Теоретически это безопасно, если у вас уже есть хорошая сетевая безопасность.

Более безопасным является режим проверки подлинности Windows. Только при условии, что в целом у вас хорошая сетевая безопасность.

Не могли бы вы подробнее рассказать о ваших текущих настройках и потребностях?