আমি যখন দেখি sys.sql_logins, তখন আমি কলম দেখতে পাই is_policy_checked। আমি কী বিশ্বাস করতে পারি যে এই কলামটির মান যেখানে লগইন হয়েছে সেগুলির জন্য আমার পাসওয়ার্ড নীতিটি পরীক্ষা করা হয়েছে 1?
আমি যখন দেখি sys.sql_logins, তখন আমি কলম দেখতে পাই is_policy_checked। আমি কী বিশ্বাস করতে পারি যে এই কলামটির মান যেখানে লগইন হয়েছে সেগুলির জন্য আমার পাসওয়ার্ড নীতিটি পরীক্ষা করা হয়েছে 1?
উত্তর:
যদিও ডকুমেন্টেশনের এই পতাকাটির অর্থ কী তা সম্পর্কে নিম্নলিখিত তর্কযুক্ত বিতর্কিত বক্তব্য রয়েছে:
পাসওয়ার্ড নীতি পরীক্ষা করা হয়েছে।
এর প্রকৃত অর্থ কী, এবং বলা উচিত, পতাকাটি দুটি উদ্দেশ্য করে:
- পাসওয়ার্ড নীতিটি যাচাই করা হতে পারে, তবে কেবলমাত্র (ক) পাসওয়ার্ডটি সর্বশেষ সেট করার সময় পাসওয়ার্ড নীতিটি সক্ষম করা হয়েছিল এবং (খ) পাসওয়ার্ডটি সরল পাঠ্যে নির্দিষ্ট করা হয়েছিল (হ্যাশ সহ নয়)।
- নীতি নির্ধারিত হওয়ার পরে পাসওয়ার্ড নীতিটি যাচাই করা হবে , তবে কেবলমাত্র (ক) সেই সময়ে পাসওয়ার্ড নীতি সক্ষম করা থাকলে এবং (খ) পাসওয়ার্ডটি সরল পাঠ্যে নির্দিষ্ট করা হয় (হ্যাশ দিয়ে নয়)।
(এবং নোট করুন যে "নীতি "টি মেয়াদোত্তীর্ণকরণ কার্যকর করা এবং ব্যবহারকারীকে পরবর্তী লগইনে পাসওয়ার্ড পরিবর্তন করতে হবে তা বোঝায়, তবে যেহেতু জটিলতাটি সাধারণত নিরীক্ষণ ক্রিয়াকলাপগুলির ফোকাস, তাই আমি কেবল সেই দিকটির দিকে মনোনিবেশ করতে যাচ্ছি)। )
is_policy_checkedবিট সেট করা হয় 1যদি CHECK_POLICY = ONএকটি সময় CREATE LOGINবা ALTER LOGINঘটনা, এমনকি যদি নীতি সময়ে চেক করা নেই। আপনি সম্ভবত উপরে থেকে সংগ্রহ করতে পারেন, এই চেক এই পরিস্থিতিতে ঘটবে না:
HASHEDকীওয়ার্ডটি ব্যবহার করে নির্দিষ্ট করা হয় (সার্ভারের মধ্যে লগইনগুলি স্থানান্তরিত করার সময় বা শিপড / মিরর / এজি সেকেন্ডারিগুলিতে লগিন অনুলিপি করার সময় একটি খুব সাধারণ কৌশল)। পাসওয়ার্ডের জটিলতা যাচাই করা সম্ভব নয় যদি আপনার প্রাক-হ্যাশ মান না থাকে।ALTER LOGINএকটি নতুন পাসওয়ার্ড নির্ধারণ না করে এবং পতাকাটি পরিবর্তন করতে পারেন (এটি চিত্রিত করার জন্য @ এমএইচটিওকে ধন্যবাদ )। আমার সন্দেহ হয় এটি চালকরা একটি অডিটরকে বোকা বানানোর চেষ্টা করেই করেছে।এই সমস্যাগুলি প্রদর্শন করা সহজ।
যেহেতু আমি এই বিষয়ে কথা বলেছি বেশিরভাগ লোকেরা সর্বদা ধরে নিয়েছে যে এর is_policy_checkedঅর্থ হ'ল বর্তমান পাসওয়ার্ডটি বর্তমান পাসওয়ার্ড নীতিটি পূরণ করে, তাই আমি মনে করি এখানে গুরুত্বপূর্ণ কিছু পরিবর্তন করা উচিত যাতে ব্যবহারকারীদের সঠিক প্রত্যাশা থাকে এবং বুঝতে পারে যে এই পতাকাটির প্রয়োজনীয় অর্থ এই নয় সবকিছু ঠিক আছে. খুব কমপক্ষে, ডকুমেন্টেশনটি বাস্তবতাকে প্রতিফলিত করার জন্য আপডেট করা উচিত, যেমনটি আমি উপরে উল্লেখ করেছি somewhat তবে অন্যান্য জিনিসগুলিও করা যেতে পারে।
CHECK_POLICY = ONতবে নীতিটি সত্যই তা পরীক্ষা করা যায় না (হয় বলে পাসওয়ার্ডটি একটি হ্যাশ দিয়ে নির্দিষ্ট করা হয়েছে, বা পাসওয়ার্ড নীতিটি অক্ষম করা হয়েছে বলে, অথবা আদেশটি বাইপাস করার জন্য একটি সহজ প্রচেষ্টা) অথবা পতাকা নির্ধারণ করুন, যেমন ALTER LOGIN blat WITH CHECK_POLICY = ON;)।CHECK_POLICYপক্ষে ACTIVELY_CHECK_POLICYএবং সম্ভবত হ্রাস করা যেতে পারে CHECK_POLICY_ON_NEXT_CHANGE। কলাম sys.sql_loginsহওয়া উচিত policy_has_been_checkedএবং policy_will_be_checked। আমি এই নামের সাথে বিবাহিত নই, তবে এগুলি বর্তমান শব্দের চেয়ে অনেক বেশি নির্ভুল।ACTIVELY_CHECK_POLICY = ONএবং আদেশটি কার্যকর করার সময় নীতিটি যাচাই করা যায় না, আমার একটি ত্রুটি বার্তা পাওয়া উচিত এবং পতাকাটি সেট করা উচিত নয় 1(বা এমনকি লগইন তৈরি বা পাসওয়ার্ড পরিবর্তন সফল হওয়া উচিত নয়)।0জাতীয় বাইপাসগুলি চিহ্নিত করা যেতে পারে)।আপনার এসকিউএল লগইনগুলি নিরীক্ষণ করার জন্য এবং আত্মবিশ্বাসের সাথে বিশ্বাস রাখতে হবে যে কোনও অবিশ্বাস্য উপায় নেই - ম্যানুয়ালি তাদের পাসওয়ার্ডগুলি কোনও সুরক্ষিত সুরক্ষিত জিনিসে পরিবর্তিত করে - আপনার এসকিউএল লগইনগুলি নিরীক্ষণ করতে এবং আত্মবিশ্বাসী হয়ে উঠুন যে তারা সকলেই আপনার জটিলতা নীতিমালা পূরণ করে। এই দিন এবং ক্রমবর্ধমান ডেটার যুগে, আরও বেশি সংখ্যক ডেটা লঙ্ঘন এবং সিস্টেমগুলি আরও কঠোর এবং কঠোর করার জন্য সুস্পষ্ট প্রয়োজন, এটি এমন একটি সমস্যা যা মোকাবেলা করা দরকার। আমি এটি সম্পর্কে ব্লগ করেছি এবং এটি সম্পর্কিত একটি আইটেম তৈরি করেছি:
আমি আপনাকে সংযুক্ত আইটেমটিতে ভোট দিতে উত্সাহিত করি এবং আরও গুরুত্বপূর্ণ, আপনি কীভাবে এই ডিডিএল বিকল্প এবং মেটাডেটা কাজ করেন সে সম্পর্কে ভ্রান্ত ধারণা সহ আপনার সিস্টেমগুলি অডিট করছেন না তা নিশ্চিত হন।
দয়া করে এটিকে "নন-ইস্যু" হিসাবে ব্রাশ করবেন না কারণ এটি কীভাবে কাজ করে আপনি এটি সম্পর্কে পুরোপুরি আরামদায়ক এবং ইতিমধ্যে জানেন যে পতাকাটিতে বিশ্বাস করা যায় না - আপনি যে ব্যবহারকারী নন সে সম্পর্কে আপনি চিন্তিত; এটা অন্য সবাই।