Discussion :

[AlternantOracle]

Bonjour,

Mon problème est le suivant.
Comment auditer si mes mots de passe sonts forts pour toutes mes plateformes ?
En effet, si on va directement tapper sur les instances on sort des hash qui sont plutot longs à craquer même avec une bonne carte graphique.

De plus certains clients n'ont même pas les mots de passes dans leurs CMDB.


1/ Du coup auriez-vous un outil ou une technique pour faire ce genre d'audit ?

2/ Quels sont les best practices en thermes de sécurité de mise en place des logins / mdp associés à SQL serveur ?
Faut-il par exemple désactiver SA ? C'est vraiment utile ?

3/ Quels sont les best practices en thermes de sécurité AWS/ Azure etc ...
Par exemple certains clients laissent des adresses plublics sur AWS et se font bruteforcer le SA par des chinois ...

Cordialement,
Jonathan.

[AlternantOracle]

J'ai trouvé 2 articles pas trop mal pour les règles globales même si ça date:
https://www.mssqltips.com/sqlservert...hat-to-expect/
https://www.mssqltips.com/sqlservert...e-information/

Par contre rien pour tester les MDP et les architectures Azure,AWS et cloud en général.

[SQLpro]

1) forcer la politique des mots de passe par rapport à Windows
2) supprimer le compte SA

A +

[AlternantOracle]

Hello,

On va pousser ça auprès du client.

Merci monsieur .

[rudib]

J'ajoute : pour l'audit, vous pouvez utiliser des outils libres de test de pénétration qui comportent des modules pour mssql. Je démontre comment utiliser Metasploit dans mon cours vidéo en anglais sur Pluralsight : http://www.pluralsight.com/courses/d...ity-encryption

Pour vérifier si les comptes qui font parties du rôle sysadmin ont une politique de mot de passe, pensez à utiliser Policy management

[AlternantOracle]

Merci pour les informations