0
我有一个名为Planning and Auditing of Information Systems的课程,我遇到了这样的考试问题:为什么不推荐混合模式验证?
为什么不建议使用“SQL Server和Windows身份验证模式”来验证Microsoft SQL数据库?
我搜索了这篇文章,并用Google搜索了一下,但是我无法为这个问题找到明确的答案。有谁知道这个问题可以瞄准什么?
A
回答
1
这当然只是我的看法,但不推荐的原因是最终有2个不同的用户组必须随时进行维护和监控。在现实世界中,这通常最终会导致这两个组中的一个被忽略或未正确维护,这通常是因为系统管理员维护Windows Auth用户和DBA维护SQL Server用户。这种不一致可能导致安全问题,或导致用户最终同时拥有Windows Auth用户名/密码和SQL Server用户名/密码的问题。当停用用户时,有时候只有两个帐户中的一个会失效,从而导致可能的安全问题。
2
当使用混合身份验证启动SQL Server实例时,使用完整的系统管理员权限启用“sa”登录并获得密码(希望是非常强大的密码)。 “sa”帐户是常见的攻击点。
能够访问实例“sa”帐户的黑客不仅拥有受损实例和所有链接服务器上的所有数据,还可以通过使用xp_cmdshell调用实例运行的服务帐户的权力来调用PowerShell脚本等等。许多组织不遵循服务帐户的最佳做法,他们的整个生产环境将在一个或两个服务帐户下运行。这使得“sa”对黑客来说是一个非常有吸引力的攻击点。
在Windows身份验证下,“sa”登录被禁用。这可能是您的考试题目正在寻找的。
迈克沃尔斯顿的观点也非常真实。
相关问题
- 1. 为什么在Rails 3中不推荐使用验证?
- 2. 验证猫鼬混合模式类型
- 3. 为什么不推荐使用isJavaLetterOrDigit?
- 4. std :: iterator为什么不推荐使用?
- 5. 为什么Logger.isInfoEnabled不推荐使用org.jboss.logging.Logger?
- 6. 为什么gunicorn_django不再被推荐?
- 7. Object.observe()为什么不推荐使用
- 8. 为什么不推荐使用std :: strstream?
- 9. 为什么不推荐使用struts2 FilterDispatcher?
- 10. 为什么不通过推荐工作?
- 11. 为什么struts验证不适合我?
- 12. 为什么混合混合模式不能处理CSS中的字体/文本?
- 13. 什么是混合模式程序集?
- 14. 为什么Rails Inflector模块不推荐使用?
- 15. 作为客户端推荐调度程序的推荐方式是什么?
- 16. CouchDB和Node.js - 你推荐什么模块?
- 17. 为什么不推荐使用assert_template,而应该使用什么?
- 18. 为什么不xhtml验证
- 19. 桂设计模式推荐
- 20. 推荐Git模式Emacs
- 21. JavaScript表单验证库推荐
- 22. 推荐一个PHP验证框架
- 23. 你推荐什么JavaScript库?
- 24. 这种情况下推荐的F#模式是什么?
- 25. 部署Maven模块的推荐方式是什么?
- 26. karaf-maven-plugin的推荐使用模式是什么?
- 27. 以下GCD /块方案的推荐模式是什么?
- 28. 你用什么来验证XML模式?
- 29. ASP.NET MVC 4混合身份验证模式
- 30. ASP.NET身份+ Windows身份验证(混合模式 - 窗体+ Windows)