Existe-t-il un moyen de définir des tentatives de connexion échouées consécutives sur un nombre spécifique de 3 ou 4 fois (pour les connexions SQL Server)? Si ce nombre est dépassé, l'attente est de verrouiller le compte.Connexion à SQL Server - tentatives de connexion échouées
Répondre
Vous pouvez appliquer la stratégie pasword du serveur Windows sur lequel SQL Server est installé en utilisant l'option CHECK_POLICY
de CREATE USER
, voir http://msdn.microsoft.com/en-us/library/ms189751.aspx et http://msdn.microsoft.com/en-us/library/ms161959.aspx. Ce n'est pas clair à partir de la documentation, mais il semble que l'utilisateur sera automatiquement verrouillé si le nombre de mauvaises tentatives dépasse le paramètre de la stratégie de sécurité Windows.
Vous devez administrer la stratégie de sécurité dans le domaine ou la stratégie de sécurité locale MMC snapin (voir http://technet.microsoft.com/en-us/library/dd277400.aspx).
Il existe deux modes d'authentification utilisés dans SQL Server: le mode d'authentification Windows et mixte (permet à la fois l'authentification Windows et authentification SQL Server)
Le premier mode est une façon moins vulnérable aux attaques de force brute comme le l'attaquant est susceptible de se heurter à un verrouillage de connexion (la fonction de politique de verrouillage de compte) après un nombre fini de tentatives d'attaque ("un nombre spécifique de 3 ou 4 fois").
En ce qui concerne la vulnérabilité d'attaque par force brute d'authentification SQL Server, tout environnement de production, en utilisant le mode d'authentification Windows, doit utiliser la fonctionnalité de stratégie de verrouillage. brillant. En fait, l'authentification SQL Server ne comporte aucune fonctionnalité permettant de détecter lorsque le système est soumis à une attaque par force brute. De plus, SQL Server est très réactif lorsqu'il s'agit de valider les informations d'authentification SQL Server. Il peut facilement gérer des tentatives de connexion répétées, agressives et en force brute sans que les performances globales négatives indiquent de telles attaques. Cela signifie que l'authentification SQL Server est une cible parfaite pour la fissuration par mot de passe par force brute
- 1. Un captcha est-il suffisant pour appliquer plusieurs tentatives de connexion échouées?
- 2. blocage de la connexion après X tentatives infructueuses
- 3. Connexion SQL Server 2008 et connexion http?
- 4. connexion SQL Server aide
- 5. Connexion SQL Server
- 6. Problèmes de connexion SQL Server
- 7. Identification de connexion SQL Server
- 8. Problème de connexion SQL Server
- 9. Erreur SQL Server "Impossible d'ouvrir une connexion à SQL Server"
- 10. SQL Server 2005 Connexion Question
- 11. connexion SQL Server 2005 à partir d'Oracle
- 12. Valider la connexion SQL Server
- 13. PHP à la connexion SQL Server
- 14. Connexion à SQL Server 2008 avec PDO
- 15. Connexion à SQL Server avec ActiveRecord
- 16. Ruby Connexion à SQL Server 2005
- 17. Twisted et connexion à SQL Server
- 18. Visual Studio connexion à SQL Server
- 19. Comment puis-je modifier le nombre maximum de tentatives de connexion échouées pour verrouiller l'utilisateur dans Weblogic 10.0?
- 20. Python - créer un fichier liste noire des adresses IP qui ont plus de 5 tentatives de connexion échouées dans authlog
- 21. Problème de chaîne de connexion SQL Server?
- 22. connexion serveur SQL Server 2008 de SQL Server 2005
- 23. Journal de connexion Sql Server 2005
- 24. Autorisations de connexion distantes SQL Server 2005
- 25. SQL Server 2008: problèmes de connexion ODBC
- 26. sql server error chaîne de connexion 2008
- 27. Vérification de l'existence d'une connexion SQL Server
- 28. PHP erreur de connexion SQL Server
- 29. Pourquoi la connexion de Sql Server TimesOut
- 30. SQL Server: comment changer de connexion
au lieu de 'select', ne pouvons-nous pas utiliser' update' ici et définir la valeur? Je voudrais d'abord essayer de voir si cela fonctionne :) –