我有一门课叫信息系统的规划和审计,我遇到了一道这样的考试题:
为什么不建议使用"SQL Server和Windows身份验证模式"对Microsoft SQL数据库进行身份验证?
我搜索了我的文献,并在谷歌上搜索了它,但我没能找到这个问题的确切答案。有人知道这个问题的目的是什么吗?
当使用混合身份验证启动SQL Server实例时,"sa"登录将使用完整的sysadmin权限启用,并将获得一个密码(希望是一个非常强的密码)。"sa"账户是一个常见的攻击点。
拥有实例"sa"帐户访问权限的黑客不仅拥有受损实例和任何链接服务器上的所有数据,还通过使用xp_cmdshell调用PowerShell脚本等方式,使用实例运行的服务帐户的权限。许多组织不遵循服务帐户的最佳做法,他们的整个生产环境都在一个或两个服务帐户下运行。这使得"sa"账户成为黑客非常有吸引力的攻击点。
在Windows身份验证下,"sa"登录被禁用。这可能就是你的考题想要的。
迈克·沃尔斯顿的观点也非常正确。
当然,这只是我的观点,但不建议这样做的原因是,您最终会有两组不同的用户,必须始终对其进行维护和监控。在现实世界中,这通常会导致这两个组中的一个被忽视或没有得到正确维护,通常是因为系统管理员维护Windows Auth用户,DBA维护SQL Server用户。这种不一致可能会导致安全问题,或者用户最终同时使用Windows Auth用户名/密码和SQL Server用户名/密码的问题。当停用用户时,有时两个帐户中只有一个会被停用,这可能会导致安全问题。