Вы можете настроить версии Microsoft SQL Server 2005 Express, Microsoft SQL Server Desktop Engine 2000 (MSDE) или более ранние версии Microsoft SQL Server для запуска в режиме смешанной аутентификации. SA аккаунт создается в процессе установки, и он обладает всеми правами в операционной среде SQL Сервера. По умолчанию SA пароль пустой (NULL), пока вы не изменяете его, запустив программу установки MSDE. Чтобы усилить защиту вашей операционной среды ISA Сервера, рекомендуется изменить SA пароль на более сложный. А еще лучше – использовать только аутентификацию Windows, потому что аутентификация Windows использует Kerberos, как протокол аутентификации, а также использует методы повышенной защиты паролями.
Раньше, да иногда и в наше время, SA аккаунт был «опасным» при использовании SQL Сервера Микрософт. SA аккаунт используется SQL Сервером Микрософт, MSDE (Microsoft SQL Server Desktop Engine) и Microsoft SQL Server Express. В некоторых версиях и при определенных условиях пароль SA аккаунт пустой (NULL), и хакеры могут использовать этот аккаунт для получения полного доступа к настройкам SQL Сервера и базам данных. Поэтому очень важно создать безопасный пароль к SA аккаунту, который вы можете контролировать.
Базы данных SQL Сервера Микрософт и MSDE могут использовать различные виды режимов аутентификации:
В смешанном режиме Администратор может использовать аутентификацию Windows или аутентификацию SQL Сервера. Когда вы используете аутентификацию SQL Сервера, вам понадобится аккаунт, созданный таким устройством SQL Управления, как Microsoft SQL Server Enterprise Manager. Также вы можете использовать встроенный аккаунт администрирования SQL Сервера, который называется SA.
Режим аутентификации Windows – самый безопасный режим аутентификации, потому что он использует протокол безопасности. Аутентификация Windows также содержит устройства блокировки аккаунта, усиления политики пароля для усложнения пароля. Аутентификация Windows также поддерживает истечение пароля в то время, пока стандартная аутентификация SQL не поддерживает это устройство. Если вы выберете аутентификацию Windows, процесс установки создаст SA аккаунт, который по умолчанию отключен. Чтобы использовать режим смешанной аутентификации, вы должны активировать SA аккаунт, после завершения процесса установки.
Сложные пароли не легко создавать. Их нелегко запомнить; простые пароли легко запоминаются, но они небезопасны. Решите сами, какой вид паролей вы хотите использовать. Сложные пароли не могут использовать запрещенные условия или элементы, такие как:
В сложном пароле должно быть более 8 символов и наличие по крайней мере трех критериев:
Максимальная длина пароля
Пароли SQL Сервера Микрософт могут содержать от 1 до 128 символов, включая комбинации из букв, символов и цифр.
По умолчанию ISA Сервер 2004/2006 устанавливает развитую регистрацию (Advanced Logging) для сервисов брандмауэра ISA Сервера и для Веб-прокси регистрации (Webproxy Logging). Это означает, что эти сервисы по умолчанию зарегистрированы в базе данных MSDE. Вы можете менять формат сохранения регистрации после установки ISA Сервера из MSDE в SQL Сервер Микрософт или классический формат файла.
В больших операционных средах будет необходимо менять формат регистрации из MSDE в текстовый файл по причинам безопасности.
Рисунок 1:Формат сохранения регистрации ISA Сервера
В ISA Сервере, который использует пример MSDE или SQL Express, откройте командную строку и введите
osql -U sa Это соединит вас с локальным, по умолчанию, примером MSDE, используя SA аккаунт. Для соединения с именованным примером на вашем компьютере, напечатайте: osql -U sa -S servername\MSFW
Вы увидите следующую командную строку: Пароль:
Снова нажмите ENTER. Для SA аккаунта будет использоваться пустой пароль. Если вы увидите надпись 1>, то вы успешно зарегистрировались без пароля.
По умолчанию MSDE в ISA Сервере 2004/2006 использует аутентификацию Windows, поэтому вы можете изменять режим аутентификации на смешанный режим. Это достигается путем изменения Регистрации.
Прежде, чем вы начнете изменять Регистрацию, вы должны остановить сервис SQL сервера Микрософт. Это делается через SQL Server Service Manager, как показано на ниже приведенном рисунке.
Рисунок 2:SQL Server Service Manager
Рекомендация:Вы никогда не удивлялись, почему ваш ISA Сервер, который SQL Server Service Manager вводит для Имени сервера (servername) и сервисов, пустой, но все сервисы работают? Просто введите Имя сервера (servername) и имя MSDE примера для ISA в «Server field», например, ISA01\MSFW. И нажмите кнопку Refresh services.
Далее пройдите в HKLM\Software\Microsoft\Microsoft SQL Server\MSFW\MSSQLServer.
Рисунок 3:Установки Регистрации для режима SQL аутентификации
Измените LoginMode с 1 на 2.
Рисунок 4:Изменение на смешанный режим аутентификации
Перезапустите сервис SQL Сервера Микрософт. Откройте командную строку и введите следующую команду для соединения с MSDE:
OSQL ‘E ‘S ISA01\MSFW
Рисунок 5:Регистрация в примере MSDE для ISA Сервера
В этой командной строке OSQL введите следующую команду, показанную на ниже приведенном рисунке:
Рисунок 6:Изменение пароля SA аккаунта для примера
Пароль успешно изменен.
SP_password @old = null: Старый пароль @new = TopSecret: TopSecret – Новый пароль @loginname: Аккаунт, для которого вы хотите поменять пароль GO: Выполнение OSQL команды
Теперь вы можете использовать SA аккаунт и новый пароль для регистрации в базе данных.
Рисунок 7:Регистрация с новым именем пользователя и паролем
Не забудьте поменять режим аутентификации SQL Сервера, если в будущем вы не хотите пользоваться смешанным режимом аутентификации. Микрософт рекомендует использовать только аутентификацию Windows. Если вы поменяете метод аутентификации обратно на аутентификацию Windows, то вам нужно будет перезапустить сервис SQL Сервера Микрософт.
Эта статья научила вас, как управлять паролем SA аккаунта в Microsoft SQL Server Desktop Engine, и как использовать смешанный режим аутентификации вместо аутентификации Windows.
www.isaserver.org
Tags: proxy, SQL, SQL Server