대상 |
2003, 2008,
2012, 2016, 2019 |
위험도 |
중 |
Code |
W-82 |
|
취약점 개요 |
데이터베이스 엔진 인증
모드에는 Windows 인증 모드와 SQL Sever가
있는 혼합 모드 두 가지 구성이 있음. Windows 인증 모드 선택 시 SQL Sever 인증을 위해서 설치 프로그램은 *sa라는 비활성화
된 계정을 생성하고, 이 계정은 혼합 모드를 사용함으로써 활성화됨.
sa 계정은 일반 사용자들에게 잘 알려진 만큼 쉽게 공격의 대상이 될 수 있으므로 꼭 필요하지 않는 경우 비활성화 하고, 만약 필요하다면 강력한 암호 체계를 사용하여야 함. Windows 인증은 *kerberos 보안프로토콜을 사용하며, 강력한 암호정책을 적용하 여 적합한 복잡성 수준을 유지함. 또한, 계정 잠금 및 암호만료를 지원하고 SQL 서버가 Windows에서 제공하는 자격증명을 신뢰한 트러스트 연결을 사용하기 때문에 Windows 인증 모드 사용을 권고함. *sa 계정: 데이터베이스 서버 설치 시 자동으로 생성되며 DB서버 관리자 계정을 뜻함. *kerberos 보안프로토콜: 개방된 컴퓨터 네트워크 내에서 서비스
요구를 인증하기 위한 보안 시스템. |
|||||
보안대책 |
||||||
판단기준 |
양호: Windows 인증 모드를 사용하고 sa계정이 비활성화되어 있는
경우이거나, sa계정 사용 시 강력한 암호정책을 설정한 경우 |
|||||
취약: 혼합 인증 모드를 사용하고, 활성화된 sa 계정에 대해 강력한 암호정책 설정을 하지 않은 경우 |
||||||
조치방법 |
Windows 인증 모드 사용 |
|||||
보안설정방법 |
||||||
Windows만 인증 활성화 <
SQL Server 2005 > 1. 우클릭> 서버> 등록 정보> 보안 탭> 인증> 인증 모드>
Windows만[W]를 클릭하여 활성화시킴 |
||||||
조치 시 영향 |
일반적으로 영향 없음 |
Comments
Post a Comment