現在オフラインです。再接続するためにインターネットの接続を待っています

SQL Server sa ログイン ハッシュ暗号塩の変形の不足を修正します。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:980671
現象
Microsoft SQL Server 2005年およびそれ以降のバージョンでは、SQL Server の複数のインスタンスが同じ暗号化塩組み込みの sa ログインを使用します。ソルトのすべてのインストールと同じであるため、ある種の総当たり攻撃は、攻撃者はまずハッシュ化されたパスワードにアクセスできる場合より実用的になりますを強制的します。ハッシュされたパスワードは、SQL Server の管理者のみに利用できます。
原因
SQL Server 2005 およびそれ以降のバージョンでは、sa ログインの暗号化の塩が生成されます。CHECK_POLICY が有効になっている場合は、一貫性のある、パスワードの履歴を使用するために、ユーザーのパスワードを変更すると salt、暗号化は再生されません。既定では、CHECK_POLICY SQL Server 2005 で有効になります。CHECK_POLICY が無効な場合は、塩の一貫性、sa ログインの必要なくなったと新しい salt、次のパスワードの変更が再生成されます。

これはすべてのアカウントの場合は true ですが、ビルド処理中に、sa ログイン アカウントが生成されます。したがって、その同じビルド プロセス中に作成される塩の SQL Server のセットアップ中にインスタンスが保持されます。

メモ SQL Server 2008 は、この問題は、ポリシー ベースの管理機能で使用される既定のログインにも影響しますが、軽減されます。既定では、これらのログインは無効になっています。

緩和策

Salt、暗号化の複数のインストール間で変化する場合でも、そのパスワード ハッシュを侵害する十分ではありません。この問題を悪用するには、悪意のあるユーザー パスワードのハッシュを取得するために SQL Server のインスタンスへのアクセスを管理する必要があります。ベスト ・ プラクティスに従えば、通常のユーザー パスワードのハッシュを取得することはできません。したがって、暗号の塩のバリエーションの欠如を悪用することができませんとなります。
解決方法

SQL Server 2005 のサービス パックの情報

この問題を解決するには、SQL Server 2005 の最新の service pack を入手します。詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
913089 SQL Server 2005 の最新の service pack を入手する方法

SQL Server 2008年のサービス パックの情報

この問題を解決するには、SQL Server 2008年の最新の service pack を入手します。詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
968382SQL Server 2008年の最新の service pack を入手する方法
回避策
SQL Server 2005 Service Pack 2 またはそれ以降のバージョンでは、暗号化の塩の sa ログイン アカウントをリセットするのには、次のスクリプトを実行できます。スクリプトを実行するのには、管理サーバーのアクセス許可を持つアカウントでログオンしなければなりませんか、アカウントが sysadmin サーバー ロールのメンバーでする必要があります。暗号化の塩をリセットした後は、sa ログインのパスワードの履歴もリセットされます、注意ください。
-- Work around for SQL Server 2005 SP2+---- Sets the password policy check off for [sa]-- Replaces [sa] password with a random byte array-- NOTE: This effectively replaces the sa password hash with -- a random bag of bytes, including the salt,-- and finally sets the password policy check on again---- After resetting the salt, -- it is necessary to set the sa password,-- or if preferred, disable sa--CREATE PROC #sp_set_new_password_and_set_for_sa(@new_password sysname, @print_only int = null)AS	DECLARE @reset_salt_pswdhash nvarchar(max)	DECLARE @random_data varbinary(24)	DECLARE @hexstring nvarchar(max)	DECLARE @i int	DECLARE @sa_name sysname;		SET @sa_name = suser_sname(0x01);	SET @random_data = convert(varbinary(16), newid()) + convert(varbinary(8), newid())	SET @hexstring = N'0123456789abcdef'	SET @reset_salt_pswdhash = N'0x0100'	SET @i = 1	WHILE @i <= 24	BEGIN		declare @tempint int		declare @firstint int		declare @secondint int		select @tempint = convert(int, substring(@random_data,@i,1))		select @firstint = floor(@tempint/16)		select @secondint = @tempint - (@firstint*16)		select @reset_salt_pswdhash = @reset_salt_pswdhash +			substring(@hexstring, @firstint+1, 1) +			substring(@hexstring, @secondint+1, 1)		set @i = @i+1	END	DECLARE @sql_cmd nvarchar(max)	SET @sql_cmd = N'ALTER LOGIN ' + quotename(@sa_name) + N' WITH CHECK_POLICY = OFF;	ALTER LOGIN ' + quotename(@sa_name) + N' WITH PASSWORD = ' + @reset_salt_pswdhash + N' HASHED;	ALTER LOGIN ' + quotename(@sa_name) + N' WITH CHECK_POLICY = ON;	ALTER LOGIN ' + quotename(@sa_name) + N' WITH PASSWORD = ' + quotename(@new_password, '''') + ';'	IF( @print_only is not null AND @print_only = 1 )		print @sql_cmd	ELSE		EXEC( @sql_cmd )go----------------------------------------------------------------------------------------- Usage example:--DECLARE @new_password sysname -- Use tracing obfuscation in order to filter the new password from SQL traces-- http://blogs.msdn.com/sqlsecurity/archive/2009/06/10/filtering-obfuscating-sensitive-text-in-sql-server.aspx--SELECT @new_password = CASE WHEN 1=1 THEN     -- TODO: replace password placeholder below with a strong password    --   ##[MUST_CHANGE: replace this placehoder with a new password]##:   ELSE EncryptByPassphrase('','') ENDEXEC #sp_set_new_password_and_set_for_sa @new_passwordgoDROP PROC #sp_set_new_password_and_set_for_sa go
SQL Server 2008 では、次のスクリプトを実行することができます。スクリプトを実行するのには、管理サーバーのアクセス許可を持つアカウントでログオンしなければなりませんか、アカウントが sysadmin サーバー ロールのメンバーでする必要があります。
-- Work around for SQL Server 2008---------------------------------------------------------------------------- Set the password policy check off for [sa]-- Reset the password-- Set the password policy check on for [sa] once again-- -- NOTE: The password history will be deleted--CREATE PROC #sp_set_new_password_and_set_for_sa(@new_password sysname, @print_only int = null) AS	DECLARE @sql_cmd nvarchar(max);	DECLARE @sa_name sysname;	-- Get the current name for SID 0x01. 	-- By default the name should be "sa", but the actual name may have been chnaged by the system administrator	--	SELECT @sa_name = suser_sname(0x01);	-- NOTE: This password will not be subject to password policy or complexity checks	-- if desired, this step can be replaced with a "throw away" password for 	-- and set the real password after the check policy setting has been set	--	SELECT @sql_cmd = 'ALTER LOGIN ' + quotename(@sa_name) + ' WITH CHECK_POLICY = OFF;	ALTER LOGIN ' + quotename(@sa_name) + ' WITH PASSWORD = ' + quotename(@new_password, '''') + ';	ALTER LOGIN ' + quotename(@sa_name) + ' WITH CHECK_POLICY = ON;'	IF( @print_only is not null AND @print_only = 1 )		print @sql_cmd	ELSE		EXEC( @sql_cmd )go----------------------------------------------------------------------------------------- Usage example:--DECLARE @new_password sysname-- Use tracing obfuscation in order to filter the new password from SQL traces-- http://blogs.msdn.com/sqlsecurity/archive/2009/06/10/filtering-obfuscating-sensitive-text-in-sql-server.aspx--SELECT @new_password = CASE WHEN 1=1 THEN     -- TODO: replace password placeholder below with a strong password    --   ##[MUST_CHANGE: replace this placehoder with a new password]##:   ELSE EncryptByPassphrase('','') ENDEXEC #sp_set_new_password_and_set_for_sa @new_passwordgoDROP PROC #sp_set_new_password_and_set_for_sa go
SQL Server 2008 年には、次のスクリプトを使用して暗号化の塩は、ポリシー ベースの管理ログインをリセットできます。スクリプトを実行するのには、管理サーバーのアクセス許可を持つアカウントでログオンしなければなりませんか、アカウントが sysadmin サーバー ロールのメンバーでする必要があります。
-------------------------------------------------------------------------- Set the password policy check off for the Policy principals-- Reset the password-- Set the password policy check on for them once again---- NOTE: -- These principals are not intended to establish connections to SQL Server-- So this SP will also make sure they are disabled--CREATE PROC #sp_reset_password_and_disable(@principal_name sysname, @print_only int = null) AS	DECLARE @random_password nvarchar(max)		SET @random_password = convert(nvarchar(max), newid()) + convert(nvarchar(max), newid())	DECLARE @sql_cmd nvarchar(max)	SET @sql_cmd = N'ALTER LOGIN ' + quotename(@principal_name) + N' WITH CHECK_POLICY = OFF;	ALTER LOGIN ' + quotename(@principal_name) + N' WITH PASSWORD = ''' + replace(@random_password, '''', '''''') + N''';	ALTER LOGIN ' + quotename(@principal_name) + N' WITH CHECK_POLICY = ON;	ALTER LOGIN ' + quotename(@principal_name) + N' DISABLE;'	IF( @print_only is not null AND @print_only = 1 )		print @sql_cmd	ELSE		EXEC( @sql_cmd )goEXEC #sp_reset_password_and_disable '##MS_PolicyEventProcessingLogin##';EXEC #sp_reset_password_and_disable '##MS_PolicyTsqlExecutionLogin##';goSELECT name, password_hash, is_disabled FROM sys.sql_loginsgo
状況
マイクロソフトでは、この「対象」に記載されているマイクロソフト製品の問題として認識しています。
この問題は SQL Server 2005 の SQL Server 2005 Service Pack 4 で修正されました。
この問題は SQL Server 2008 SQL Server 2008 Service Pack 2 で修正されました。
詳細
マイクロソフト ありがとうございました。 顧客を保護するために協力、次:
sql2005 sql2008

警告: この記事は自動翻訳されています

プロパティ

文書番号:980671 - 最終更新日: 08/15/2011 15:17:00 - リビジョン: 5.0

  • kbprb kbpasswords kbexpertiseadvanced kbmt kbsurveynew KB980671 KbMtja
フィードバック