ورود به حساب ثبت نام جدید فراموشی کلمه عبور
برای ورود به حساب کاربری خود، نام کاربری و کلمه عبورتان را در زیر وارد کرده و روی “ ورود به حساب” کلیک کنید.





اگر فرم ثبت نام برای شما نمایش داده نمیشود، اینجا را کلیک کنید.









اگر فرم بازیابی کلمه عبور برای شما نمایش داده نمیشود، اینجا را کلیک کنید.





نمایش نتایج: از 1 به 1 از 1
  1. #1
    adminmsp
    مدیر کل و موسس سایت
    تاریخ عضویت
    1970 Jan
    محل سکونت
    M.S.P Soft
    نوشته ها
    1,590
    759
    465

    آسيب*پذيري Login ID در SQL Server 7.0

    يك نقص امنيتي در الگوريتم پنهان سازي مورد استفاده در پنهان كردن اسم رمز و Login ID در Microsoft Enterprise Manager for SQL Server 7.0 وجود دارد. اين مشكل زماني رخ مي*دهد كه بخواهيد SQL Server جديدي را در Enterprise Manager نصب *كنيد يا SQL server نصب شده*اي را ويرايش *كنيد (منظور زماني است كه برخي مشخصه*هاي آن تغيير مي*دهيد). اگر SQL Server ، Login name به جاي يك Domain ، User name ويندوز بكار رود و checkbox عنوان "Alway prompt for login name and password" ست نشده باشد،* LoginID و اسم رمز به صورتي ضعيف پنهان شده و در رجيستري ذخيره مي*شود.

    هنگامي كه يك (database Administrator)DBA به داخل يك workstation با يك log ، Profile مي*شود LoginID و اسم رمز، هر دو در كليد رجيستري ذخيره مي*شوند، اين اطلاعات به عنوان يك فايل با نام NTUSER.DAT (در ويندوز NT) يا USER.DAT (در ويندوز 95 يا ويندوز 98) زماني كه كاربر logoff مي*كند ذخيره مي*شود. فرد متخاصم مي*تواند اين فايل را در يك ويرايشگر متن باز كرده و DBA ، loginID و اسم رمز پنهان شده را ببينيد. فرد متخاصم مي*تواند اسم رمز و login ID رمز شده پنهان شده را برگردانده و loginID و اسم رمز را بدست آورد. وجود اين مشكل امنيتي به متخاصمين محلي و راه دور اين اجازه را مي*دهد كه اسم رمز Administrator سيستم را بدست آورده و كنترل كاملي روي پايگاه داده روي سرور داشته باشند. اين مشكل امنيتي در Microsoft Enterprise Manager for SQL server 7.0 وجود دارد. سيستم پنهان سازي كه براي پنهان كردن اسم رمز و SQL server ، LoginID نصب شده بكار مي*رود، قابل كشف است. روش پنهان سازي از جانشيني الفبايي استفاده مي*كند و هركدام از كاراكترهاي Unicode در اسم رمز با دو بايت متناسب با موقعيتشان در رشته، XOR شده*اند. اگر checkbox با عنوان “Always prompt for login name and password” هنگامي كه SQL server نصب مي*شود ست نشده باشد، LoginID و اسم رمز به صورت ضعيفي در رجيستري در قسمت :

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSSQLServer\S QLEW\Registered Server X]

    ذخيره مي*شود. اطلاعات ذخيره شده در HKEY_CURRENT_USER زماني در دسترس است كه كاربر در حال حاضر log شده باشد در اين حال زماني كه كاربر ويندوز NT به سيستم log مي*شود يك كپي متفاوت از HKEY_URRENT_USER لود مي*شود و هنگامي كه كاربر Logoff مي*كند محتويات HKEY_URRENT_USER در فايل NTUSER.DAT يا USER.DAT ذخيره مي*شود و اين فايل*ها را مي*توان در Notepad ويندوز باز كرد و loginID و اسم رمز را براحتي در آن ديد اگر DBA از يك workstation ديگري، به سيستم log كند، فايل NTUSER.DAT روي همان workstation كه كاربر از طريق آن به سيستم log شده است ذخيره مي*شود.

    براي حل اين مشكل امنيتي و استفاده مطمئن از SQL server، مايكروسافت پيشنهاد كرده كه از Windows Integrated security استفاده شود زيرا در مد Integrated security (امنيت يكپارچه)، اسم رمزها هيچگاه ذخيره نمي*شوند.

    اگر SQL server ، LoginID براي Logging به يك سرور در Enterprise Manager تعيين شده باشد، مايكرسافت پيشنهاد مي*كند كه از انتخاب “Always Prompt for Login name and password" براي جلوگيري ذخيره اسم رمزها در رجيستري استفاده كنيد.
    با M.S.P Soft به دنياي برنامه نويسي وارد شويد[برای نمایش لینک باید عضو شوید. ]
  2. 1
نمایش نتایج: از 1 به 1 از 1

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

موضوعات مشابه

  1. مقاله نکات بسيار مهم در سي شارپ
    توسط Prof.MohammadGh در انجمن #C
    پاسخ: 153
    آخرين نوشته: 2012-10-03, 11:02 AM
  2. ایجاد یک ارتباط ایمن با SQL Server در ASP.NET
    توسط MspSoft در انجمن SQL Server
    پاسخ: 0
    آخرين نوشته: 2012-04-14, 04:29 PM
  3. پاسخ: 0
    آخرين نوشته: 2012-02-18, 10:35 PM
  4. ابزارهای امنیتی sql server
    توسط MspSoft در انجمن مدیریت دیتابیس (Database Administration)
    پاسخ: 0
    آخرين نوشته: 2012-02-12, 09:53 PM
  5. فشرده سازی بکاپ در SQL Server
    توسط MspSoft در انجمن Backup & Restore
    پاسخ: 0
    آخرين نوشته: 2012-02-12, 09:52 PM

کلمات کلیدی این موضوع

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  

Content Relevant URLs by vBSEO 3.6.0 RC 2