اطمینان از تنظیم sa Login Account روی Disabled (Automated)
Profile Applicability
• Level 1 – Database Engine
• Level 1 – AWS RDS
Description
اکانت sa یک اکانت SQL Server شناخته شده و غالباً پر کاربرد با امتیازات sysadmin است. sa یک لاگین اصلی ایجاد شده در هنگام نصب است و همیشه دارای principal_id = 1 و sid = 0x01 میباشد.
Rationale
اجرای این کنترل احتمال اجرای حملههای brute force مهاجم علیه یک اکانت شناخته شده را کاهش میدهد.
Audit
از syntax زیر برای تعیین غیرفعال بودن اکانت sa استفاده کنید. بررسی sid = 0x01 اطمینان حاصل میکند که اکانت sa اصلی در حال بررسی است حتی اگر به بهترین روشها rename شود.
هیچ ردیفی نباید برگردد تا سازگار باشد. مقدار 0 غیرفعال شده نشانگر این است که لاگین در حال حاضر فعال است و بنابراین نیاز به اصلاح دارد.
Remediation
T-SQL query زیر را اجرا کنید:
Impact
کد کردن برنامهها یا اسکریپتها برای استفاده از اکانت sa یک عمل امنیتی خوب نیست. با این حال، اگر این کار انجام شده باشد، غیرفعال کردن اکانت sa مانع از احراز هویت اسکریپتها و برنامهها در سرور دیتابیس و اجرای وظایف یا عملکردهای مورد نیاز میشود.
Default Value
به طور پیشفرض، هنگام انتخاب Windows Authentication Mode در زمان نصب، اکانت لاگین sa غیرفعال میشود. اگر هنگام نصب mixed mode (SQL Server و Windows Authentication) انتخاب شود، ، اکانت لاگین sa فعال است.
References
docs.microsoft.com/en-us/sql/t-sql/statements/alter-login-transact-sql
Notes
در مورد AWS RDS نام پیشفرض این اکانت به جای sa، rdsa است.
مطالب این بخش برگرفته از مستند امن سازی SQL سرور 2019 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
