ISA Server 2006 Управление паролями MSDE

Проблема

Вы можете настроить Microsoft SQL Server 2005 Express, Microsoft SQL Server Desktop Engine (MSDE) версии 2000 или более ранние версии Microsoft SQL Server для работы в режиме смешанной проверки подлинности. Учетная запись SA создается в процессе установки, и учетная запись SA имеет полные права в среде SQL Server. По умолчанию пароль SA пуст (NULL), если только вы не измените пароль при запуске программы установки MSDE. Чтобы установить дополнительную безопасность для вашей среды ISA Server, рекомендуется изменить пароль SA на очень надежный пароль в качестве первой линии защиты. Гораздо лучше использовать только проверку подлинности Windows, поскольку проверка подлинности Windows использует Kerberos в качестве протокола проверки подлинности и обеспечивает надежные методы принудительного применения пароля.

Опасный аккаунт SA?

В прошлом, а иногда и сегодня учетная запись SA была «опасной» вещью в развертываниях Microsoft SQL Server. Учетная запись SA используется Microsoft SQL Server, MSDE (Microsoft SQL Server Desktop Engine) и Microsoft SQL Server Express. В некоторых версиях и при определенных обстоятельствах пароль для учетной записи SA пуст (NULL), и злоумышленник может использовать эту учетную запись для получения полного доступа к конфигурации и базам данных SQL Server. Поэтому очень важно назначить безопасный пароль для учетной записи SA, которая находится под вашим контролем.

Режимы аутентификации SQL

Базы данных Microsoft SQL Server и его младший брат MSDE могут использовать различные типы методов аутентификации:

• Смешанный режим
• Режим аутентификации Windows

Смешанный режим

В смешанном режиме администраторы могут использовать проверку подлинности Windows или проверку подлинности SQL Server. При использовании проверки подлинности SQL Server вам потребуется учетная запись, созданная с помощью инструментов управления SQL, таких как Microsoft SQL Server Enterprise Manager. Вы также можете использовать встроенную учетную запись администратора SQL Server под названием SA.

Режим аутентификации Windows

Режим проверки подлинности Windows является самым безопасным режимом проверки подлинности, поскольку в качестве протокола безопасности он использует Kerberos. Аутентификация Windows также предоставляет функции блокировки учетной записи, принудительное применение политики паролей с точки зрения сложности пароля. Аутентификация Windows также поддерживает истечение срока действия пароля, в то время как стандартная аутентификация SQL не предоставляет эту функцию. Если вы выберете проверку подлинности Windows, программа установки создаст учетную запись SA, которая по умолчанию отключена. Для использования аутентификации в смешанном режиме необходимо активировать учетную запись SA после завершения установки.

Рекомендации по надежному паролю

Надежные пароли установить непросто. Слишком надежные пароли нелегко запомнить; слабые пароли легко запомнить, но они очень ненадежны. Примите собственное решение о том, какой тип паролей вы хотите использовать. В надежных паролях не могут использоваться запрещенные условия или термины, в том числе:

• Пустой или NULL пароль
• "Пароль"
• «Админ»
• «Администратор»
• «са»
• «сисадмин»

Надежный пароль должен состоять из более чем 8 символов и удовлетворять как минимум трем из следующих четырех критериев:

• Он должен содержать заглавные буквы.
• Он должен содержать строчные буквы.
• Он должен содержать цифры.
• Он должен содержать не буквенно-цифровые символы; например, #, % или ^.

Максимальная длина пароля

Пароли Microsoft SQL Server могут иметь длину от 1 до 128 символов, включая комбинацию букв, символов и цифр.

Ведение журнала MSDE ISA Server

В соответствии с установкой ISA Server 2004/2006 по умолчанию устанавливается расширенное ведение журнала для служб брандмауэра ISA Server и для ведения журнала веб-прокси. Это означает, что эти службы регистрируются по умолчанию в базе данных MSDE. Вы можете изменить формат хранения журнала после установки ISA Server с MSDE на Microsoft SQL Server или классический формат файла.

В больших средах может потребоваться изменить формат журнала с MSDE на текстовый файл из соображений безопасности. Вы найдете больше информации о ведении журнала и производительности ISA Server в следующей статье.

Рисунок 1: Формат хранения журнала ISA Server

Как проверить, является ли пароль SA пустым

На сервере ISA, который использует экземпляр MSDE или SQL Express, откройте командную строку и введите

osql -U са

Это соединит вас с локальным экземпляром MSDE по умолчанию с помощью учетной записи sa. Чтобы подключиться к именованному экземпляру, установленному на вашем компьютере, введите:

osql -U to -S имя_сервераMSFW

Вы увидите следующее приглашение:

Пароль:

Нажмите ВВОД еще раз. При этом будет использоваться пустой пароль для учетной записи SA. Если вы видите приглашение 1>, вы успешно вошли в систему без пароля.

Изменить режим аутентификации MSDE

По умолчанию MSDE на ISA Server 2004/2006 использует аутентификацию Windows, поэтому вы должны изменить режим аутентификации на смешанный режим аутентификации. Это делается путем исправления реестра.

Прежде чем приступить к исправлению реестра, необходимо остановить службу Microsoft SQL Server. Это делается с помощью диспетчера служб SQL Server, как показано на следующем рисунке.

Рисунок 2: Диспетчер служб SQL Server

Кончик:
Вы когда-нибудь задумывались, почему на вашем ISA Server запись диспетчера служб SQL Server для имени сервера и служб пуста, но все службы работают должным образом? Просто введите имя сервера и имя экземпляра MSDE для ISA в поле Сервер — например , ISA01MSFW. И нажмите кнопку Обновить службы.

Затем перейдите в HKLMSoftwareMicrosoftMicrosoft SQL ServerMSFWMSSQLServer.

Рисунок 3: Параметры реестра для режима аутентификации SQL

Измените запись LoginMode с 1 на 2.

Рисунок 4. Переход на смешанный режим аутентификации

Перезапустите службу Microsoft SQL Server. Откройте командную строку и введите следующую команду, чтобы установить соединение с MSDE:

OSQL –E –S ISA01MSFW

Рисунок 5: Войдите в экземпляр MSDE для ISA Server

В этой командной строке OSQL введите следующие команды, показанные на следующем рисунке:

Рисунок 6. Изменение пароля учетной записи SA для экземпляра

Пароль успешно изменен.

Объяснение синтаксиса:

SP_password @old = null: старый пароль
@new = TopSecret: TopSecret — новый пароль.
@loginname: учетная запись, для которой вы хотите изменить пароль
GO: выполняет команду OSQL

Теперь вы можете использовать учетную запись SA и новый пароль для входа в базу данных.

Рисунок 7. Войдите в систему с новыми учетными данными

Не забудьте изменить режим аутентификации SQL Server, если вы не хотите использовать смешанный режим аутентификации в будущем. Microsoft рекомендует использовать только проверку подлинности Windows. Если вы измените метод проверки подлинности обратно на проверку подлинности Windows, вам придется перезапустить службу Microsoft SQL Server.

Вывод

В этой статье показано, как управлять паролями для учетной записи SA в Microsoft SQL Server Desktop Engine и как использовать смешанный режим проверки подлинности вместо только проверки подлинности Windows.

Ссылки по теме

• Как проверить и изменить пароль системного администратора в MSDE или SQL Server 2005 Express Edition
• Режим проверки подлинности Windows — это режим безопасности по умолчанию после обычной установки SQL Server 2000 или SQL Server 2005.
• Как настроить ведение журнала SQL в ISA Server
• Как настроить ISA Server 2004 и ISA Server 2006 для записи данных в базу данных SQL Server