امنیت در اس کیو ال سرور [بایگانی]

mrm0101

شنبه 11 اسفند 1386, 22:22 عصر

سلام . همانطور که می دانیم برای ارتباط با یک بانک اطلاتی در اس کیو ال سرور باید نام سرور (یا ای پی سرور ) نام کاربری و کلمه عبور را داشته باشیم .

حال فرض کنیم ای پی سرور را می دانیم و اگر کسی برنامه ای با دلفی یا سی شارپ بنویسد که تمام حالات رشته ای را تا 50 کاراکتر ( تمامی حالات 50 کاراکتر یعنی 50 فاکتوریل ضرب در 50 ) برای نام کاربری و کلمه عبور تست کند . این کار شاید چندین روز با ملیارد ها حالت کانکشن طول بکشد
بلاخره بعد از چند ین روز نام کاربری و کلمه عبور پیدا می شود

آیا برای جلوگیری از اینطور ارتباط ها راهی است . مثلا برای سرور تعریف کنیم که از یک آی پی بیشتر از 10 بار نشود بصورت اشتباه به بانک اطلاعاتی کانک شد

رضا عربلو

شنبه 11 اسفند 1386, 22:55 عصر

تا جاییکه من می دانم تو اس کیو ال چیزی به صورت password age و password history و ... جدا از Active Directory نداریم.
در واقع اس کیو ال از همان پالیسی اکتیو دایرکتوریتان تبعیت می کند و در صورتی که شما یک لاگین را درست می کنید می توانید تعین کنید که ایا لاگین فوق از پالیسی اکتیو دایرکتوری تبعیت کند و یا نه. (سوئیچ CHECK_POLICY در دستور ALTER LOGIN ). و مثلماً در اینصورت اگر در پالیسی اکتیو دایرکتوریتان از Account Lockout Threshold و ... استفاده کرده باشد بعد از n بار وارد کردن اشتباهی پسورد لاگین فوق به مدت Reset Lockout Counter After ثانیه لاک می شود.

برای آشنایی بیشتر با دستور ALTER LOGIN :
http://msdn2.microsoft.com/en-us/library/ms189828.aspx