Как можно предотвратить неудачные входы в систему в SQL Server 2005?

Question

Я считаю, что мой сервер был постоянной целью атаки методом перебора на SQL Server 2005 (SQLExpress). Мой журнал Просмотр событий заполняется сообщениями «Сбой аудита» для SQL Server. Попытки обычно длятся час или два с 1-2 секундами между попытками.

Ошибка входа для пользователя 'sa' [КЛИЕНТ: 222.169.224.163]

Идентификатор события: 18456. На основании совпадений записей в журнале SQL Server я обнаружил, что при каждом входе в систему происходит сбой из-за несоответствующего пароля. Я также видел попытки для других пользователей, включая «Администратор» и «Администратор». Каждый сеанс идет с другого IP-адреса и из таких стран, как Италия и Китай.

Какие контрмеры могут быть приняты? Я не хочу блокировать учетную запись пользователя, потому что тогда мой сайт и приложения не будут иметь доступа к серверу. Есть ли способ ограничить попытки входа в систему через SQL Server 2005? Например. геометрически увеличить «период ожидания» между неудачными попытками входа в систему?

Answer 1

Нет способа остановить попытки входа на SQL-сервер, о которых я знаю. Тем не менее, мне любопытно, как интернет-пользователи могут зайти так далеко. Вы не за брандмауэром? Это довольно пугающий доступ, и его следует исправить как можно скорее.

Мои веб-серверы защищены брандмауэром, и единственные разрешенные порты - 80 и 443.

Answer 2

Хотя это не ответ на ваш вопрос, подключение сервера базы данных к Интернету никогда не было хорошей практикой. Предоставляйте веб-службы для безопасного доступа к данным и скрывайте сервер за брандмауэром.

Answer 3

Рассмотрите возможность блокировки входящих соединений через порт SQL Server (1433) с помощью брандмауэра.

Answer 4

Быстрое исправление - переименование учетной записи sa и изменение параметров подключения к службам, зависящим от этого Sql Server.

ALTER LOGIN sa DISABLE;

ALTER LOGIN sa WITH NAME = [sys12-21admin];

(Конечно, выберите другое имя, отличное от предложенного.)

Для более подробной информации http://blogs.msdn.com/sqltips/archive/2005/08/27/457184.aspx

Увеличивая «период ожидания» между неудачными попытками входа в систему, вы можете запретить правильный доступ к Sql Server.

Насколько я понимаю, приложения используют вход "sa" для выполнения ежедневных задач, и это может заблокировать учетную запись. На всякий случай используйте http://www.windowsecurity.com/articles/Hacking_an_SQL_Server.html

Это, конечно же, еще одна проблема безопасности, по которой вы должны попытаться как можно скорее прекратить доступ, как предложено в предыдущих публикациях.