Verbietet der PCI-Standard die Verwendung der Windows-Authentifizierung?

Wir verwenden derzeit den gemischten Modus für unsere SQL Server-Authentifizierung. Ich habe versucht, unseren DBA davon zu überzeugen, dass wir die Windows-Authentifizierung verwenden können, damit wir Team Foundation Server verwenden können. Er weigert sich jedoch absolut, uns die Verwendung zu erlauben.

Ihm zufolge können wir keine Windows-Authentifizierung haben, da wir planen, irgendwann PCI-kompatibel zu werden und PCI den gemischten Modus erfordert. Nach dem, was ich online sehe, ist das Gegenteil der Fall: Der PCI-Standard bevorzugt die Windows-Authentifizierung gegenüber dem gemischten Modus.

Kann mir jemand weitere Informationen dazu geben (vorzugsweise eine URL mit den richtigen Informationen), damit ich sie an unseren Abteilungsleiter weiterleiten kann?

Nein.

Wie Sie vorgeschlagen, der PCI Data Security Standard tatsächlich bevorzugt auf SQL Server Windows - Authentifizierung über andere Mittel zur Authentifizierung.

Der Abschnitt des Standards, der dies abdeckt, ist Anforderung 8: Weisen Sie jeder Person mit Computerzugriff eine eindeutige ID zu . Die SQL Server-Authentifizierung (die im gemischten Modus zulässig ist) schlägt fehl oder macht es äußerst schwierig, die folgenden PCI-Anforderungen zu erfüllen :

8.5.5 Entfernen / Deaktivieren inaktiver Benutzerkonten mindestens alle 90 Tage.

8.5.8 Verwenden Sie keine Gruppen-, freigegebenen oder generischen Konten und Kennwörter oder andere Authentifizierungsmethoden.

8.5.12 Erlauben Sie einer Person nicht, ein neues Passwort zu übermitteln, das mit einem der letzten vier Passwörter übereinstimmt , die sie verwendet hat

Als Administrator besteht das Hauptproblem beim Zulassen der SQL Server-Authentifizierung darin, dass eine Anwendung, die eine Verbindung zu Ihrer Datenbank herstellt, wahrscheinlich Benutzernamen und Kennwörter im Klartext aus einer Konfigurationsdatei abruft . Jeder, der Lesezugriff auf diese Konfigurationsdatei hat, hat jetzt auch Zugriff auf Ihre Datenbank.

Wenn Sie sich in einem Windows-Shop mit einem starken Active Directory-Setup befinden, bietet die Verwendung nur der Windows-Authentifizierung für die Verbindung zu Ihren Produktionsdatenbanken viele Vorteile:

• Sicherheit und Identität werden auf Domänenebene durchgesetzt, wodurch es einfach ist, Rechte in der gesamten Domäne zu übertragen und zu widerrufen.

  • Jede Person und jeder Dienst erhält ein separates Domain-Konto. Dienstkonten können nicht remote auf Computer übertragen werden, und Nicht-DBA-Personenkonten können keine Verbindung zu den Datenbanken herstellen.
  • Ihr DBA-Team kann nicht mehr für jede Instanz in Ihrer Umgebung eine DBA SQL Server-Anmeldung mit God-Rechten freigeben.
• Mit SQL Server können Sie zwar Regeln für die Kennwortkomplexität erzwingen (die Sie gemäß den PCI-DSS-Anforderungen 8.5.9-11 durchsetzen müssen), aber ich wette, AD macht dies besser. Möchten Sie diese Regeln auch wirklich an zwei verschiedenen Orten durchsetzen?
• Anwendungen, die über die Windows-Authentifizierung eine Verbindung herstellen, können ihre Anmeldeinformationen nicht mehr im Klartext anzeigen. Es ist für jemanden viel schwieriger, eine Konfigurationsdatei oder einen Anwendungsserver zu öffnen und Zugriff auf Ihre Datenbank zu erhalten.

Wenn Sie sich auf die PCI-Konformität für die Kreditkartenindustrie beziehen, wird die Windows-Authentifizierung bevorzugt. Suchen Sie diesen Satz bei Google : "Best Practices für die SQL Server-Sicherheit"

Die beiden obersten Links, insbesondere der erste, führen Sie zu der Dokumentation, dass die Windows-Authentifizierung bevorzugt wird. Der erste ist ein Link zum Whitepaper mit den Best Practices für SQL 2005, gilt jedoch für alle darüber hinausgehenden Versionen von SQL Server.

Ich bin an Sicherheitsüberprüfungen von Datenbanken und Instanzen beteiligt, die zur Erfüllung der DoD-Standards erforderlich sind, und auch dort wird die Windows-Authentifizierung bevorzugt. Außerdem habe ich PCI-Konformitätsprüfungen durchlaufen und sie werden in der Regel nach Windows-Authentifizierung suchen.

Keine der Compliance-Bestimmungen (z. B. PCI, HIPAA, GLBA, Basel II, FERPA oder SOX) verbietet den Windows-Authentifizierungsmodus

Tatsächlich wird empfohlen, das mitgelieferte System und andere Sicherheitsparameter unter SQL Server nicht zu verwenden. Verwenden Sie anstelle des gemischten Modus (aktiviert sowohl die Windows-Authentifizierung als auch die SQL Server-Authentifizierung) nur die Windows-Authentifizierung. Es verwendet die Windows-Kennwortrichtlinie für den Zugriff auf SQL Server. Dies ermöglicht die Überprüfung des Kennwortverlaufs, der Mindestlänge des Kennworts sowie der minimalen und maximalen Lebensdauer des Kennworts. Die wichtigsten Merkmale der Windows-Kennwortrichtlinie sind die Anmeldesperre - wenn eine Anmeldung für eine bestimmte Anzahl von Malen ununterbrochen fehlschlägt

Wenn es um die Sicherheitsanfälligkeit bei Brute-Force-Angriffen mit SQL Server-Authentifizierung geht, ist die Situation nicht so günstig. Die SQL Server-Authentifizierung verfügt über keine Funktionen, mit denen erkannt werden kann, wann das System einem Brute-Force-Angriff ausgesetzt ist. Darüber hinaus reagiert SQL Server sehr schnell auf die Überprüfung der SQL Server-Authentifizierungsdaten. Es kann problemlos wiederholte, aggressive Brute-Force-Anmeldeversuche ohne negative Gesamtleistung verarbeiten, die auf solche Angriffe hinweisen könnten. Dies bedeutet, dass die SQL Server-Authentifizierung ein perfektes Ziel für das Knacken von Passwörtern über Brute-Force-Angriffe ist

Außerdem entwickeln sich mit jeder neu eingeführten Verschlüsselungs- und Kennwortkomplexitätsmethode Brute-Force-Methoden. Beispielsweise können Angreifer, die Regenbogentabellen verwenden (die vorberechneten Tabellen zum Umkehren der kryptografischen Hashwerte für jede mögliche Zeichenkombination), jedes Hash-Passwort einfach und schnell knacken