sql-server – 使用集成安全性(SSPI)更好地访问SQL Server的Web应用程序?

前端之家收集整理的这篇文章主要介绍了sql-server – 使用集成安全性(SSPI)更好地访问SQL Server的Web应用程序?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
将Web应用程序(.net)部署到生产环境时,使用集成安全性是否更好,甚至更重要?

在我看来,如果一个黑客破坏了网络服务器,它就不会真正重要,因为它们很容易冒充机器.

思考?

解决方法

我想说使用sql auth只有两个正当理由:

>您从域外连接,因此集成了身份验证.
>您正在运行TPC-C基准测试并且每个周期都很重要. sql auth更快一点.

对于您提议的方案(Web服务器主机完全受损),没有什么可以保护您.黑客可以在数据库服务器上至少完成Web服务器可以执行的所有操作.而且我会说深度防御可以教会你在这种情况下最大限度地减少损失:将你的web服务器使用的帐户的数据库权限减少到绝对最低要求,仅此而已.其次要确保Web服务器主机是否受到威胁,它不能用于提升高于Web服务器帐户的权限(即WWW主机上没有其他服务使用DB上具有比WWW帐户更高权限的凭据).这些是基本的安全原则,与使用的身份验证方案无关.

虽然sql auth与windows auth在您的方案中没有明显的优势,但还有其他问题需要考虑:

>集中策略实施:您可以在一个地方设置密码策略,包括密码生存期和到期日,帐户终止等.
>控制假冒和委托信任.一旦在信任委托链中使用了sql auth,所有的赌注都会被取消,因为这不是真正的“委托”,因此不再受政策规定的限制
>审计:您的LSA甚至看不到sql auth,因此您可以简单地绕过整个审计基础架构.您需要明确地添加sql生成的关于sql auth事件的记录,但是混合苹果和橙子,因为这些事件在事件日志中具有不同的源,提供者和模式

最后一点:TDS协议以明文形式通过流量公开sql auth密码,但这通常通过请求流量的SSL加密来缓解.

那么为什么你还能看到在web.config中以明文形式存储密码的sql auth WWW主机?那些是糟糕的开发者/管理员,不是其中之一.

msdn.microsoft.com/en-us/library/aa378326(VS.85).aspx

technet.microsoft.com/en-us/library/ms189067.aspx

猜你在找的MsSQL相关文章