堀川です、おはようございます

-----Original Message-----
From: Tadashi Nakamura [mailto:who@example.com]
Sent: Sunday, August 07, 2005 6:42 AM
To: ML MSDE beg
Subject: [ml-msde-beg:01605] BSA 2.0 によるチェック


>この段階で BSA 2.0 によるチェックをかけてみました。

Microsoft Baseline Security Analyzer 2.0
http://www.microsoft.com/japan/technet/security/tools/mbsa2/default.mspx

MBSA2.0は、これから多くのコンピュータにインストールされると思います
使いやすく、チェック項目の報告がわかりやすいですね



>問題といえば、BSA 2.0 は MSDE2000 の混合認証モード
>に対して X を付けています。Windows 認証モードにせよ、
>とのことです。パスワード認証は、OS に任せた方が
>強固な認証を行えるから、というのがその理由でしょうか。
>小生の MSDE 導入当時（４年前）は、混合モードでも
>Windows 認証モードでもどちらでもいいような解説ばかり
>だったように思うのですが。

初期のMSDEやSQLServerのインストールでは、ログイン名saに
パスワードが付けられずにインストールされたのが一番の問題
だったわけです。

どこのサイトか忘れましたが、このsaパスワードの変更を忘れて
攻撃を受けて、この問題が大きくなり、SQLServer2000から
改善されたわけです。

確かにWindows認証なら、認証過程のセキュリティは非常に強固な
設定ができます。
ローカルセキュリティポリシーで、Windowsネットワーク内のセキュリティ
レベルの調整ができます。

ただ、Windowsネットワーク以外の部分からログインするような場面、
あるいは、Web等からデータベースサーバーに入ってくるような場面では
SQLServer認証がどうしても必要になる場面があります。

SQLServer認証が悪いのではなくて、その運用方法に問題が発生する
可能性があるので（パスワードの有効期間設定など、柔軟な調整ができない）、
できる限り、Windows認証を使って欲しいということです。

運用方法に問題が無ければ、SQLServer認証を有効化させても大丈夫です。

Windows認証でもSQLServer認証でも、データベースサーバーへのログインを
sysadminロールの権限で全員がログインしているとか、dbowner権限だとか
セキュリティ設計を何も考慮していなデータベースサーバーの場合は、
Windows認証やSQLServer認証を論じる以前に、データベースサーバーの
セキュリティ計画をしっかり立てる必要があります。

それが出来てから、ログイン認証方法をどうするのか？を論じるべきです。


------------------------------------
（株）日本技術ソフト開発
  　    　堀川　明  (Akira Horikawa)
    ０８月０８日（月曜日）　１０時５５分記
        mailto:who@example.ne.jp
        http://www.horikawa.ne.jp/msde/