SA-account > Forum > PASS Nederland

Web Site Search

Home
Agenda
Links
Bloggers
Over PASS Nederland
       User benefits
       Geregistreerd... en dan?
       Sponsoring
Artikelen
       Cursussen en certificering
          SQL Server 2000
          SQL Server 2005
             Examenrecensies
Archief nieuwsbrieven
       2005
          Nieuwsbrief 1 / 09-10-2005
       2006
          Nieuwsbrief 2 / 16-01-2006
          Nieuwsbrief 3 / 11-03-2006
          Nieuwsbrief 4 / 11-04-2006
          Nieuwsbrief 5 / 08-05-2006
          Nieuwsbrief 6 / 18-06-2006
          Nieuwsbrief 7 / 27-08-2006
          Nieuwsbrief 8 / 20-10-2006
          Nieuwsbrief 9 / 22-12-2006
       2007
          Nieuwsbrief 10 / 04-02-2007
          Nieuwsbrief 11 / 05-03-2007
          Nieuwsbrief 12 / 02-04-2007
          Nieuwsbrief 13 / 01-05-2007
          Nieuwsbrief 14 / 01-06-2007
          Nieuwsbrief 15 / 02-09-2007
          Nieuwsbrief 16 / 04-10-2007
          Nieuwsbrief 17 / 05-11-2007
          Nieuwsbrief 18 / 06-12-2007
       2008
          Nieuwsbrief 19 / 12-01-2008
          Nieuwsbrief 20 / 14-02-2008
          Nieuwsbrief 21 / 02-05-2008
          Nieuwsbrief 22 / 16-06-2008
          Nieuwsbrief 23 / 01-08-2008
          Nieuwsbrief 24 / 13-11-2008
          Nieuwsbrief 25 / 01-12-2008
       2009
          Nieuwsbrief 26 / 07-02-2009
          Nieuwsbrief 27 / 09-03-2009
          Nieuwsbrief 28 / 01-04-2009
          Nieuwsbrief 29 / 04-06-2009
          Nieuwsbrief 30 / 02-09-2009
          Nieuwsbrief 31 / 06-10-2009
          Nieuwsbrief 32 / 07-11-2009
          Nieuwsbrief 33 / 04-12-2009
Forum

onze sponsors

Login | Register

Forum

Forums

Search

Forums > Forums > Algemeen

Subject: SA-account

You are not authorized to post a reply.

Author

Messages

Jamie de Goei User is Offline

User is Offline

Posts:10

16-10-2009 08:37:08	Alert
In de organisatie waar ik werk, hebben we ca. 50 SQL Servers in gebruik. Helaas is het met de security daarvan - nu nog - niet al te best gesteld. Eén van de aandachtspunten is het aantal logins met sysadmin-rechten en het gebruik van het sa-account. Het gebruik van het sa-account gaan we - volgens MS Best Practice - alleen nog gebruiken als ultieme login, daar waar alle andere logins failen bijv. Niemand of niets - ook de DBA'ers niet want die hebben een aparte login met sysadmin-rechten - mag het sa-account nog gebruiken. Om misbruik van het sa-account te voorkomen willen we de wachtwoorden van de div. sa-accounts op de div. servers opnieuw instellen. De vraag is echter hoe dit in andere organisaties is geregeld: - op alle SQL Server hetzelfde sa-wachtwoord? - elke SQL Server een andere willekeurig sa-wachtwoord? - sa-wachtwoorden verschillend maken per server maar met een bepaald algoritme? Ik hoop dat iemand wat ideeën kan opperen zodat we uiteindelijk een weloverwogen beslissing kunnen nemen. Alvast bedankt voor de reactie.

Arjan Fraaij User is Offline

User is Offline

Posts:111

16-10-2009 09:37:29	Alert
Hoi, Ik weet niet of hier een echte best practice voor is. Het zelfde sa wachtwoord op iedere server is natuurlijk een risico als iemand deze perongeluk weet te achterhalen, in dat kader kies ik meestal voor een uniek wachtwoord per server. Vaak gebaseerd door een algoritme over de servernaam heen te halen. Wat wellicht meer van belang is in dit geval: Wat ga je met deze wachtwoorden doen? Ik heb al eens per server een envelop laten maken met daarin het wachtwoord welke in een kluis werden opgeslagen. Gezien het algoritme weet niemand na de installatie en toekenning van sysadmin rechten aan een beperkte groep het SA wachtwoord meer. Indien je kiest voor 1 complex wachtwoord voor alle servers kan dit natuurlijk ook. Echter zal het wachtwoord dan bekender worden en meer kans op uitlekken omdat bij iedere inrichting van een nieuwe server het wachtwoord uit de kluis gehaald moet gaan worden. Met tot gevolg dat iemand het toch maar ergens gaat opschrijven om niet telkens de kluis procedure uit te hoeven voeren. In dat kader dus ook weer een uniek wachtwoord per server. Gr, Arjan PS. De omgeving waar per server een wachtwoord is aangemaakt bestaat uit ongeveer 75 servers. Het is dus even wat werk en de vraag is dus tot hoever je moet gaan? Wat zegt een security audit?

Robert Hartskeerl User is Offline

User is Offline

Posts:86

16-10-2009 11:00:20	Alert
Wij zetten op alle servers een SA wachtwoord dmv GUIDS (NEWID). Hiermee is het wachtwoord bij niemand bekend. Het SA account staat ook disabled. De vraag is, wat wil je met het SA account? In de praktijk heb je dit nooit nodig zolang de beheerders over een eigen account beschikken met de juiste rechten. Daarnaast is nog altijd het service account SYSADMIN. Mocht je daar het wachtwoord van weten dan kun je daarmee inloggen. Mocht niemand het wachtwoord weten en mochten alle SYSADMINS verwijderd zijn kun je nog altijd SQL Server opstarten in SINGLE USER mode. Je bent dan automatisch SYSADMIN en kan dan weer de juiste rechten toekennen aan het service account en beheerders. Daarna kun je SQL Server weer normaal starten.

You are not authorized to post a reply.

Forums > Forums > Algemeen > SA-account

ActiveForums 3.6

Copyright (c) 2012 PASS Nederland Privacy Statement Terms Of Use