Sql-Server

ISO 27001 - 重置 SQL Server 帳戶的密碼

  • June 25, 2021

我們正在實施安全更改以通過 ISO 27001 審核。我們正在將所有域帳戶(使用者帳戶、管理員帳戶、服務帳戶)設置為由我們的資訊安全管理系統(Thycotic)自動更改其密碼。

問題是,我們是否還需要更改非域 SQL Server 身份驗證帳戶(例如“SA”帳戶),如果需要,您是否知道這樣做的方法?

為這些 SQL Server 身份驗證帳戶重置密碼是標準的嗎?

ISO/IEC 27001:2013文件資訊技術 – 安全技術 – 資訊安全管理系統 – 要求是一個標準:

…規定了在組織範圍內建立、實施、維護和持續改進資訊安全管理系統的要求。它還包括根據組織需要對資訊安全風險進行評估和處理的要求。ISO/IEC 27001:2013 中規定的要求是通用的,旨在適用於所有組織,無論其類型、規模或性質如何。

如果此標准定義您應該經常更改密碼以確保安全,那麼請務必這樣做。

關於 SQL Server

更改帳戶密碼就像登錄實例並設置命令一樣簡單:

ALTER LOGIN [sa] SET PASSWORD = 'ThisIsMyN3wSecurePassw0rd' 
GO

回答你的問題

為這些 SQL Server 身份驗證帳戶重置密碼是標準的嗎?

沒有關於重置[sa]登錄(或任何其他 SQL Server 身份驗證帳戶)密碼的標準。

但是,如果您遵守 ISO/IEC 27001:2013 中規定的標準,那麼您可能應該****定期更改 SQL Server 身份驗證帳戶的密碼。

有規律的:以固定的模式重複存在或發生,在一個和另一個之間具有相等或相似的空間或時間;甚至:

參考: 正常(劍橋詞典)

這意味著每年一次可以被認為是定期的。

為這些 SQL Server 身份驗證帳戶重置密碼是標準的嗎?

應該是這樣,儘管人們實際所做的可能會有所不同。ISO 27001 涉及資訊安全,應包括訪問資訊的所有途徑。任何涉及安全的策略都應涵蓋本地和域級別的帳戶。

作為最佳實踐,在可能的情況下,您可能應該完全取消本地帳戶,以便您可以通過域帳戶控制身份驗證。即使這在您的情況下不實用,也強烈建議您禁用sa並使用更細粒度的訪問控制。

引用自:https://dba.stackexchange.com/questions/216876