0
我有一個名爲Planning and Auditing of Information Systems的課程,我遇到了這樣的考試問題:爲什麼不推薦混合模式驗證?
爲什麼不建議使用「SQL Server和Windows身份驗證模式」來驗證Microsoft SQL數據庫?
我搜索了這篇文章,並用Google搜索了一下,但是我無法爲這個問題找到明確的答案。有誰知道這個問題可以瞄準什麼?
A
回答
1
這當然只是我的看法,但不推薦的原因是最終有2個不同的用戶組必須隨時進行維護和監控。在現實世界中,這通常最終會導致這兩個組中的一個被忽略或未正確維護,這通常是因爲系統管理員維護Windows Auth用戶和DBA維護SQL Server用戶。這種不一致可能導致安全問題,或導致用戶最終同時擁有Windows Auth用戶名/密碼和SQL Server用戶名/密碼的問題。當停用用戶時,有時候只有兩個帳戶中的一個會失效,從而導致可能的安全問題。
2
當使用混合身份驗證啓動SQL Server實例時,使用完整的系統管理員權限啓用「sa」登錄並獲得密碼(希望是非常強大的密碼)。 「sa」帳戶是常見的攻擊點。
能夠訪問實例「sa」帳戶的黑客不僅擁有受損實例和所有鏈接服務器上的所有數據,還可以通過使用xp_cmdshell調用實例運行的服務帳戶的權力來調用PowerShell腳本等等。許多組織不遵循服務帳戶的最佳做法,他們的整個生產環境將在一個或兩個服務帳戶下運行。這使得「sa」對黑客來說是一個非常有吸引力的攻擊點。
在Windows身份驗證下,「sa」登錄被禁用。這可能是您的考試題目正在尋找的。
邁克沃爾斯頓的觀點也非常真實。
相關問題
- 1. 爲什麼在Rails 3中不推薦使用驗證?
- 2. 爲什麼不推薦HibernateTemplate?
- 3. 與OWIN混合模式驗證
- 4. 驗證貓鼬混合模式類型
- 5. SQL混合身份驗證模式
- 6. 爲什麼Logger.isInfoEnabled不推薦使用org.jboss.logging.Logger?
- 7. 爲什麼gunicorn_django不再被推薦?
- 8. 爲什麼不推薦使用isJavaLetterOrDigit?
- 9. 爲什麼不推薦使用JButton.enable?
- 10. 爲什麼不推薦使用struts2 FilterDispatcher?
- 11. 爲什麼SET不推薦使用?
- 12. 爲什麼不推薦使用StringTokenizer?
- 13. std :: iterator爲什麼不推薦使用?
- 14. Object.observe()爲什麼不推薦使用
- 15. 爲什麼不通過推薦工作?
- 16. 爲什麼不推薦使用std :: strstream?
- 17. 爲什麼不推薦使用body.scrollTop?
- 18. 爲什麼不再推薦mysql擴展?
- 19. Aurelia驗證@ensure裝飾者不推薦?
- 20. 爲什麼struts驗證不適合我?
- 21. CGLayers爲什麼不混合?
- 22. 爲什麼混合混合模式不能處理CSS中的字體/文本?
- 23. 什麼是推薦的JAX-RS組合?
- 24. 爲什麼webgl混合不支持COLOR_LOGIC_OP模式?
- 25. 推薦iOS iOS初始化的推薦方式是什麼?
- 26. 推薦幫助文件的推薦方式是什麼?
- 27. 爲什麼Rails Inflector模塊不推薦使用?
- 28. 什麼是混合模式程序集?
- 29. X3D - 使用什麼混合模式
- 30. CouchDB和Node.js - 你推薦什麼模塊?