我最近遇到了很多数据库登录没有enforce_password_policy启用标志的环境。
即将进行的审核需要验证这些登录名的密码。
我使用以下查询来获取登录列表以及标志是打开还是关闭。
select
@@SERVERNAME as servername,
name,
IS_SRVROLEMEMBER('sysadmin', name) as SYSADMIN,
type_desc,
create_date,
is_policy_checked,
is_disabled,
password_hash,
PWDCOMPARE(name, password_hash) as UsernameAsPassword
FROM sys.sql_logins
但是,这并不能告诉我密码是否真的遵守密码策略,因为该标志仅在创建用户时才相关。
是否有已知的方法来测试现有用户的密码策略合规性?
我无法访问旧密码,我更喜欢不需要它们的方法。
这可能在您的用户中不受欢迎,但我相信您可以确定的唯一方法是强制使用
CHECK_POLICY = ON. 这将生成一组ALTER LOGIN带有空白密码的命令,您可以更新查询,为它们提供一个通用密码,或者使用单独的密码手动更新每个命令 - 只需确保它们符合您的策略。当然,您需要确保密码策略与您期望的一样复杂,并且已启用(控制面板 > 管理工具 > 本地安全策略 > 帐户策略 > 密码策略 > 密码必须满足复杂性要求)。史蒂夫琼斯不久前写过这个。请注意 - 由于我在下面发现的内容 - 您不能依赖于
is_policy_checked = 1表示密码实际上符合您当前的策略,因为登录可能是使用散列密码创建的(在这种情况下,纯文本密码不能是检查)或本地复杂性策略被禁用(仍然导致is_policy_checked = 1)。我认为可行的另一种方法是尝试使用当前和 with创建每个登录的副本,并记下每个失败的登录。但是,这不起作用- 即使使用,它也不会对已经散列的密码执行任何验证。我将包含后代的代码 - 但是,根据设计,该策略根本无法检查。
password_hashCHECK_POLICY = ONCHECK_POLICY = ON就个人而言,我认为这是一个错误。如果语法允许我使用散列密码创建登录,并且我可以规定该密码必须符合我的复杂性策略,它应该会生成一个错误或警告,表明该策略实际上没有被检查。
更新:我针对这种行为提出了一个错误。
你不可能100%准确。虽然您可以使用
PWDCOMPARE检查弱密码列表(您可以添加到弱密码列表并进行比较)。我编写了一个类似的脚本来进行比较并为您提供结果。我已经在github上发布了。
编辑:
现在您可以在 csv 中拥有一个弱密码列表,然后将 dbatools
Test-DbaLoginPassword与-Dictionaryswitch 一起使用(指定要包含在弱密码测试中的密码列表。)每个 SQL 登录的密码策略只是开启或关闭的标志。如果选中密码策略标志,则会强制执行来自操作系统的 Windows 密码策略。
查看 CREATE LOGIN 文档,了解设置 CHECK_POLICY 和 CHECK_EXPIRATION 时发生的情况的详细信息。
您可以通过检查 sys.sql_logins 中的 is_policy_checked 和 is_expiration_checked 列来查看每个 SQL 用户的设置
如下所示:
对于 SQL Server 身份验证登录:
select * from sys.server_principals where type in ('U','G')- 将显示可以通过 Windows 身份验证访问 SQL Server 的登录名和组。