Ana içeriğe atla

PWDCOMPARE() ile SQL Server'da NonCompliant Password kontrolü

Bu yazı SQL Server 2008 ve sonrasi için geçerli bir yazıdır. SQL Server üzerinde tanımlı SQL loginlerin şifrelerinin bazı çok bilinen şifrelerle aynı olup olmadığı kontrolü yapılır. Faydalı oması dileğiyle.

 İlgili Transact-SQL'in kullanım şekli (syntax) aşağıdaki gibidir.
PWDCOMPARE ( 'clear_text_password', password_hash [ , version ] )
Kullanılabilecek argümanların açıklaması aşağıdaki gibidir.
  •  clear_text_password: Kontrol edeceğimiz şifrelenmemiş (unecnrypted) password. 
  •  password_hash: Logine ait password encrption hash bilgisi.
  •  version: İsteğe bağlı olarak kullanılabilen bu parametre ile SQL Server 2000 öncesinden  taşınan ancak yeni versiyona convert edilmemiş loginlerin password_hashlerinin kontrol  edilmesi imkanı tanınır.


Aşağıdaki T-SQL ile şifresi boş olan loginler getirilir.

SELECT name FROM sys.sql_logins  

WHERE PWDCOMPARE('', password_hash) = 1  

Aşağıdaki T-SQL ile şifresi password olan loginler getirilir.

SELECT name FROM sys.sql_logins  
WHERE PWDCOMPARE('password', password_hash) =

Aşağıdaki T-SQL ile şifresi login ismiyle aynı olan loginler getirilir.

SELECT name FROM sys.sql_logins  
WHERE PWDCOMPARE(name, password_hash) = 1


Bu scriptler data güvenliğinizi maksimize edebilmek adına çeşitlendirilerek kullanılabilir. Aynı zamanda database hack tehditlerine karşı mutlaka sistemde takip edilmesi gereken bir T-SQL syntaxı olarak yer almalıdır. Bilgimiz dışında çalıştırıldığında üretilecek alert mekanizmalarıyla durum kontrol altına alınmalıdır.
Etiketler:

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

gMSA (group managed service account) and SQL Server

MSA (managed user account) teknolojisinin sorunlarından bir tanesi aynı MSA'i birden fazla computer objesinde kullanamamaktı. Bu nedenle de gMSA (group managed service account) duyuruldu. gMSA ile; Passwordler Active Directory tarafından yönetileceği için complex olurlar ve sık sık otomatik olarak değiştirilir (default 30 days). Passwordler 240 bytes uzunluğunda randomly şifrelenmiş olarak üretilir. Ek olarak interactive logon amaçlı kullanılamazlar, yanlış şifre girilmesi sonucunda meydana gelen lock-out olma durumuna yakalnmazlar. Şifre değişikliği sonrasında SQL Server Servisinin restart edilmesine gerek bulunmaz. Aşağıda belirtilen adımlar pre-reqlerin tamamlanmış olduğu varsayılarak step by step aktarılmıştır. Prerequisetlerle ilgili detaylı bilgilendirmeye  https://technet.microsoft.com/en-us/library/jj128431.aspx#BKMK_gMSA_Req  linkinden erişilebilir. 1-  Active Directory Users and Computers Altında Global Security Group Oluşturma gMSA 'i kullanacağımız sun
Yorum Gönder
Devamı

Import Active Directory Module in Powershell

Active Directory rolüne sahip olmayan bir workstation üzerinde AD yönetimi için powershell script çalıştırmak istiyorsanız öncelikle Remote Server Administration Tools feature’ini workstation üzerinde kurmalısınız. Kurulumu tamamlandıktan sonra aşağıdaki komut ile öncelikle modüller arasında ActiveDirectory modülünün olup olmadığı kontrol edilir, eğer modüller arasında ActiveDirectory modülü yoksa session bazında Import-Module cmd’letiyle Active Directory commandletleri kullanımımıza açılır. if ( -not ( Get-Module -Name ActiveDirectory -ea Continue )) { Import-Module ActiveDirectory -ea Stop } Umarım faydalı olur.  
Yorum Gönder
Devamı

Fun With Docker..ELK Stack- ElasticSearch

Herkese Merhaba, Fun with Docker yazı serisine ELK Stack kurulumunu aktaracak, yazı dizisi içerisinde yeni bir yazı dizisiyle devam etmeye karar verdim. Bilmeyenler için ELK, 3 ayrı open source proje olan Elasticsearch, Logstash ve Kibana projelerinin birleşiminden oluşan yine open source olarak kullanıma sunulan ve bakımı Elastic tarafından  yürütülen bir proje. Bu arada ELK Stack ile ilgili tüm detaylara  https://www.elastic.co/elk-stack  linkini kullanarak ulaşabilirsiniz.  Peki biz yazı dizisi sırasında ELK Stack ile neler yapmaya çalışacağız? Docker hostumuz (Windows 10) üzerinde File Beat kurarak, IIS Loglarını toparlayacağız. Topladığımız bu IIS loglarını container üzerinde koşan LogStash'e gönderecek ve LogStash üzerinde yaptığımız konfigürasyonlarla parse operasyonunu tamamlayıp, oluşan anlamlı datayı yine container üzeride koşan ElasticSearch 'e insert edeceğiz.  Insert ettiğimiz tüm bu log datasını ise yine container imajı olarak ayağa kaldırıp
Yorum Gönder
Devamı