Red Line Software - мы помогаем вам управлять эффективностью работы вашего офиса.

Проблема

Вы можете настроить Microsoft SQL Server 2005 Express, Microsoft SQL Server Desktop Engine (MSDE) - версии 2000 или более ранние версии SQL Сервера Microsoft для запуска в режиме смешанной аутентификации. Аккаунт SA создается в процессе установки, и он обладает всеми правами в операционной среде SQL Сервера. По умолчанию пароль аккаунта SA пустой (NULL), пока вы не поменяете его, запустив инсталлятор MSDE. Чтобы усилить защиту вашей операционной среды ISA Сервера, рекомендуется изменить пароль аккаунта SA на более сложный. А еще лучше – использовать только аутентификацию Windows, потому что аутентификация Windows использует Kerberos, как протокол аутентификации, а также использует методы повышенной защиты паролями.

Опасен ли аккаунт SA?

Раньше, да иногда и в наше время, аккаунт SA был «опасным» при использовании SQL Сервера Microsoft. Аккаунт SA используется SQL Сервером Microsoft, MSDE (Microsoft SQL Server Desktop Engine) и Microsoft SQL Server Express. В некоторых версиях и при определенных условиях пароль аккаунта SA пустой (NULL), и хакеры могут использовать этот аккаунт для получения полного доступа к настройкам SQL Сервера и базам данных. Поэтому очень важно создать безопасный пароль к аккаунту SA, который вы можете контролировать.

Режимы SQL аутентификации

Базы данных SQL Сервера и MSDE могут использовать различные виды режимов аутентификации:

• Смешанный режим
• Режим аутентификации Windows

Смешанный режим

В смешанном режиме Администратор может использовать аутентификацию Windows или аутентификацию SQL Сервера. Когда вы используете аутентификацию SQL Сервера, вам понадобится аккаунт, созданный с помощью Microsoft SQL Server Enterprise Manager. Также вы можете использовать встроенный аккаунт администрирования SQL Сервера, который называется SA.

Режим аутентификации Windows

Режим аутентификации Windows – самый безопасный режим аутентификации, потому что он использует протокол безопасности. Аутентификация Windows также содержит устройства блокировки аккаунта, усиления политики пароля для усложнения пароля. Аутентификация Windows также поддерживает истечение пароля в то время, пока стандартная аутентификация SQL не поддерживает это устройство. Если вы выберете аутентификацию Windows, процесс установки создаст аккаунт SA, который по умолчанию будет отключен. Чтобы использовать режим смешанной аутентификации, вы должны после завершения процесса установки активировать аккаунт SA.

Директивы сложного пароля

Сложные пароли не легко создавать. Их нелегко запомнить; простые пароли легко запоминаются, но они небезопасны. Решите сами, какой вид паролей вы хотите использовать. Сложные пароли не могут использовать запрещенные условия или элементы, такие как:

• Пустой или нулевой пароль
• «Пароль»
• «Админ»
• «Администратор»
• «SA»
• «Системный админ (sysadmin)»

В сложном пароле должно быть более 8 символов и наличие по крайней мере трех критериев:

• Должны присутствовать заглавные буквы.
• Должны присутствовать строчные буквы.
• Должны присутствовать цифры.
• Должны присутствовать не буквенно-цифровые символы; например, #, %, or ^.

Максимальная длина пароля

Пароли SQL Сервера Microsoft могут содержать от 1 до 128 символов, включая комбинации из букв, символов и цифр.

MSDE журнализация в ISA Сервера

По умолчанию ISA Сервер 2004/2006 устанавливает развитую журнализацию (Advanced Logging) для сервисов брандмауэра ISA Сервера и для Веб-прокси регистрации (Webproxy Logging). Это означает, что эти сервисы по умолчанию зарегистрированы в базе данных MSDE. После установки ISA Сервера вы можете менять формат сохранения регистрации из MSDE в SQL Сервер Microsoft или классический формат файла.

В больших операционных средах по причинам безопасности необходимо менять формат регистрации из MSDE в текстовый файл. Более подробно ознакомиться с регистрацией ISA Сервера и с его использованием можно здесь article.

Рисунок 1:Формат сохранения журнализации ISA Сервера

Как осуществлять проверку, если пароль аккаунта SA пустой

В ISA Сервере, который использует пример MSDE или SQL Express, откройте командную строку и введите

osql -U sa Это соединит вас с локальным, по умолчанию, шаблоном MSDE, используя аккаунт SA. Для соединения с названным шаблоном на вашем компьютере, напечатайте:

osql -U sa -S servername\MSFW
Вы увидите следующую командную строку:

Password:
Снова нажмите ENTER. Для аккаунта SA будет использоваться пустой пароль. Если вы увидите надпись 1>, то регистрация без пароля прошла успешно.


Изменение режима MSDE аутентификации
По умолчанию MSDE в ISA Сервере 2004/2006 использует аутентификацию Windows, поэтому вы можете менять режим аутентификации на смешанный режим. Это достигается путем изменения Регистрации.
Прежде, чем вы начнете изменять Регистрацию, вы должны остановить сервис SQL Сервера Microsoft. Это делается через SQL Server Service Manager, как показано на ниже приведенном рисунке.

    

Рисунок 2:SQL Server Service Manager
Рекомендация:Вы никогда не удивлялись, почему все сервисы работают, в то время как ваш ISA Сервер, который SQL Server Service Manager вводит для Имени сервера (servername) и сервисов, пустой? Просто введите Имя сервера (servername) и имя шаблона MSDE для ISA в «Server field», например, ISA01\MSFW. И нажмите кнопку Refresh services.
Далее пройдите в HKLM\Software\Microsoft\Microsoft SQL Server\MSFW\MSSQLServer.

    

Рисунок 3:Установки Регистрации для режима SQL аутентификации
Поменяйте значение LoginMode с 1 на 2.

    

Рисунок 4:Изменение на смешанный режим аутентификации
Перезапустите сервис SQL Сервера Microsoft. Откройте командную строку и введите следующую команду для соединения с MSDE:
OSQL 'E 'S ISA01\MSFW

    

Рисунок 5:Регистрация в шаблоне MSDE для ISA Сервера
В этой командной строке OSQL введите следующую команду, показанную на ниже приведенном рисунке:

    

Рисунок 6:Изменение пароля аккаунта SA для шаблона
Пароль успешно изменен.
Объяснение синтакса:
SP_password @old = null: Старый пароль
@new = TopSecret: TopSecret – Новый пароль
@loginname: Аккаунт, для которого вы хотите поменять пароль
GO: Выполнение OSQL команды
Теперь вы можете использовать аккаунт SA и новый пароль для регистрации в базе данных.

    

Рисунок 7:Регистрация с новым именем пользователя и паролем
Если в дальнейшем вы не хотите пользоваться смешанным режимом аутентификации, то не забудьте поменять режим аутентификации SQL Сервера. Microsoft рекомендует использовать только аутентификацию Windows. Если вы поменяете метод аутентификации обратно на аутентификацию Windows, то вам нужно будет перезапустить сервис SQL Сервера Microsoft.


Заключение
Эта статья научила вас, как управлять паролем аккаунта SA в  Microsoft SQL Server Desktop Engine, и как использовать смешанный режим аутентификации вместо аутентификации Windows.
Ссылки

    
Как контролировать и изменять пароль системного администратора в MSDE или SQL Server 2005 Express Edition
    
Режим аутентификации Windows – самый лучший по умолчанию режим безопасности после обычной установки SQL Сервера 2000 или  SQL Сервера 2005
    
Как установить SQL регистрацию в ISA Сервере
    
Как настроить ISA Сервер 2004 и ISA Сервер 2006 для регистрации данных в базе данных SQL Сервера

Автор: Марк Гроут(Mark Grote)

Марк Грот (Marc Grote) является MCSA/MCSE Messaging & Security и Microsoft Certified Trainer (инструктором, сертифицированным Microsoft). Он работает в качестве внештатного IT инструктора и консультанта на севере Германии. Он специализируется в ISA, SMS, Exchange, Безопасности на Windows 2000 и Windows Server 2003 при разработках, миграциях и реализациях и Citrix Metaframe / Cisco реализациях. Его заслуги были замечены и ему присвоено звание Microsoft MVP для ISA Server. Вы можете посетить его домашнюю страницу www.it-training-grote.de