有没有办法将连续失败的登录尝试设置为特定的数字,如3或4次(对于SQL Server登录)?如果超过此计数,则期望锁定帐户。
答案 0 :(得分:2)
您可以使用CHECK_POLICY
的{{1}}选项强制安装SQL Server的Windows服务器的密码策略,请参阅http://msdn.microsoft.com/en-us/library/ms189751.aspx和http://msdn.microsoft.com/en-us/library/ms161959.aspx。从文档中不清楚,但如果不良尝试次数超过Windows安全策略的设置,它看起来似乎会被自动锁定。
您需要在域或本地安全策略MMC管理单元中管理安全策略(请参阅http://technet.microsoft.com/en-us/library/dd277400.aspx)。
答案 1 :(得分:0)
SQL Server中使用两种身份验证模式:Windows身份验证和混合模式(启用Windows身份验证和SQL Server身份验证)
第一种模式是一种不易受到暴力攻击的方式,因为在有限次数的攻击尝试后,攻击者可能会遇到登录锁定(帐户锁定策略功能)(“喜欢3或4次“)。如果使用Windows身份验证模式,每个生产环境都应使用锁定策略功能,因为它实际上排除了暴力攻击成功
当谈到SQL Server身份验证暴力攻击漏洞时,情况并不那么明朗。实际上,SQL Server身份验证没有允许检测系统何时受到暴力攻击的功能。此外,SQL Server在验证SQL Server身份验证凭据时非常敏感。它可以轻松处理重复的,激进的,强力的登录尝试,而不会产生可能表明此类攻击的负面整体性能。这意味着SQL Server身份验证是通过暴力
进行密码破解的理想目标