ISO 27001 - 重置 SQL Server 帳戶的密碼
我們正在實施安全更改以通過 ISO 27001 審核。我們正在將所有域帳戶(使用者帳戶、管理員帳戶、服務帳戶)設置為由我們的資訊安全管理系統(Thycotic)自動更改其密碼。
問題是,我們是否還需要更改非域 SQL Server 身份驗證帳戶(例如“SA”帳戶),如果需要,您是否知道這樣做的方法?
為這些 SQL Server 身份驗證帳戶重置密碼是標準的嗎?
ISO/IEC 27001:2013文件資訊技術 – 安全技術 – 資訊安全管理系統 – 要求是一個標準:
…規定了在組織範圍內建立、實施、維護和持續改進資訊安全管理系統的要求。它還包括根據組織需要對資訊安全風險進行評估和處理的要求。ISO/IEC 27001:2013 中規定的要求是通用的,旨在適用於所有組織,無論其類型、規模或性質如何。
如果此標准定義您應該經常更改密碼以確保安全,那麼請務必這樣做。
關於 SQL Server
更改帳戶密碼就像登錄實例並設置命令一樣簡單:
ALTER LOGIN [sa] SET PASSWORD = 'ThisIsMyN3wSecurePassw0rd' GO回答你的問題
為這些 SQL Server 身份驗證帳戶重置密碼是標準的嗎?
沒有關於重置
[sa]登錄(或任何其他 SQL Server 身份驗證帳戶)密碼的標準。但是,如果您想遵守 ISO/IEC 27001:2013 中規定的標準,那麼您可能應該****定期更改 SQL Server 身份驗證帳戶的密碼。
有規律的:以固定的模式重複存在或發生,在一個和另一個之間具有相等或相似的空間或時間;甚至:
參考: 正常(劍橋詞典)
這意味著每年一次可以被認為是定期的。
為這些 SQL Server 身份驗證帳戶重置密碼是標準的嗎?
應該是這樣,儘管人們實際所做的可能會有所不同。ISO 27001 涉及資訊安全,應包括訪問資訊的所有途徑。任何涉及安全的策略都應涵蓋本地和域級別的帳戶。
作為最佳實踐,在可能的情況下,您可能應該完全取消本地帳戶,以便您可以通過域帳戶控制身份驗證。即使這在您的情況下不實用,也強烈建議您禁用
sa並使用更細粒度的訪問控制。