Início / dba / Perguntas / 8533
Accepted
MicSim
Asked: 2011-11-30 03:36:31 +0800 CST

Algum motivo relacionado à segurança para preferir a Autenticação do Windows à Autenticação do Sql Server?

  • 772

Esta é uma pergunta bastante curta:

Ao usar o Microsoft SQL Server (versão 2005 e mais recente), há algum motivo relacionado à segurança para preferir a Autenticação do Windows à Autenticação do SQL Server?

Só para ressaltar, estou interessado em questões relacionadas à segurança, não em diferenças administrativas ou quaisquer outras entre os dois.

Atualização : Se alguma diferença levar a (ou for) uma preocupação de segurança, certamente estou interessado.

sql-server security

2 respostas

  1. Best Answer

    Um exemplo, separação de funções

    Em um servidor web, a senha da conta de serviço é conhecida apenas por uma equipe. Não é necessário ficar no web.config ou no controle de origem.

    • Uma equipe configura o IIS App Pool (a senha é conhecida aqui)
    • Uma equipe implanta o código
    • Uma equipe gerencia a instância do SQL Server

    Se você deseja passar por uma auditoria onde PCI ou SoX está envolvido, então você precisa ter este

    • 7

  2. Com a autenticação do Windows, o nome de usuário e a senha nunca são transmitidos ao SQL Server. Somente os usuários Kerberos ou token NTLM são passados.

    Com a autenticação SQL, o nome de usuário e a senha reais são passados, mas não são passados ​​em texto não criptografado. O processo de autenticação é criptografado via SSL com um certificado autoassinado para garantir que o nome de usuário e a senha não sejam passados ​​em texto não criptografado. Isso significa que um ataque man in the middle seria possível, pois o certificado não é gerado por uma autoridade de certificação reconhecida. Agora, se o seu SQL Server estiver configurado com um certificado de uma CA, esse certificado será usado para a criptografia SSL de autenticação em vez do certificado autoassinado.

    A string de conexão dentro do aplicativo deve ser criptografada, não importa qual método de autenticação esteja sendo usado.

    Agora, o bom da autenticação do Windows é que o DBA nunca precisa saber a senha da conta. Tudo isso é tratado pelo aplicativo. Concedido, isso não é grande coisa, posso usar execute como para executar comandos como a conta do aplicativo o dia todo, se assim o desejar.

    Com uma conta SQL, o administrador que está instalando o software pode facilmente definir a senha ou alterar a senha para que não seja conhecida pelo DBA.

    Outra coisa legal sobre as contas do Windows é que você tem certeza de que a senha atenderá às políticas de segurança da empresa. As senhas SQL podem ter as políticas desativadas e as senhas alteradas, em seguida, as políticas reaplicadas, o que significa que a senha pode não atender às políticas necessárias.

    • 4

relate perguntas