Bloccare la modifica password sql server

**s.ef** · 06-01-2011, 13:10

Ciao
ho un grosso problema.

Un sito creato con appoggio di database Sql Server ogni tanto modifica la password legata all'utente di connessione. In questo modo il sito diventa irraggiungibile dall'esterno.

Volevo chiedervi se esiste un modo per bloccare la modifica della password???
Vorrei che il sistema chiedesse un codice di sicurezza oppure verificasse un qualcosa prima di procedere al cambiamento della password..... oppure capire se le problematiche possano essere altre...

Ho il timore che un vecchio collaboratore che lavorava a questo progetto.... sparito di colpo.... possa in qualche modo modificare i parametri dall'esterno, avendo tutti i riferimenti per rintracciare i file di configurazione del server.

**comas17** · 06-01-2011, 15:38

Fammi capire meglio...

Cosa vuol dire "un sito modifica la password" ? è una password "nascosta" utilizzata solo dal sito per la gestione del collegamento al DB ? C'è nel sito qualche pagina da cui sia possibile gestire anche la password del DB ?

Cosa fai tu poi per ripristinare la cosa ? devi modificare la stringa di connessione riscrivendo la password vecchia o qualcuno ti dice la nuova (e modifichi la stringa di connessione di conseguenza) ?

Cioè il database ha ancora la vecchia password ed è la pagina web ad essere stata modificata oppure la password viene cambiata anche nel DB ? (con che autenticazione è stato installato SQL Server ? windows NT o mista ?)

Non ti è possibile (ammesso che lo si voglia fare) cambiare le credenziali di accesso alle pagine di questo sito (in ftp, in..) in modo che il vecchio collaboratore non possa più accedervi ?

**s.ef** · 06-01-2011, 15:55

In risposta alle tue domande.

Esiste un file di configurazione.xml dove la password è scritta.

Quando succede per ripristinare il tutto mi collego con Maneger Studio al Db Sql e cambio la password da li mettendola uguale a quella del file di configurazione.
Praticamente sembra che venga modificata direttamente dal db.
La password cioè cambia da DB non da file di configurazione.

con che autenticazione è stato installato SQL Server ? windows NT o mista ?
C'è un modo per vederlo? Mi sembra mista ma è passato parecchio tempo, io mi collego direttamente dal server con utente windows, ho configurato anche un sa con password.

Ho già cambiato le credenziali di accesso al server, le credenziali ftp e le password database (anche se conoscendo la struttura del sito ci si arriva anche tramite html.
Però mi sorprende che la password cambi direttamente dal db........... non me lo so spiegare.

Originariamente inviato da comas17
Fammi capire meglio...

Cosa vuol dire "un sito modifica la password" ? è una password "nascosta" utilizzata solo dal sito per la gestione del collegamento al DB ? C'è nel sito qualche pagina da cui sia possibile gestire anche la password del DB ?

Cosa fai tu poi per ripristinare la cosa ? devi modificare la stringa di connessione riscrivendo la password vecchia o qualcuno ti dice la nuova (e modifichi la stringa di connessione di conseguenza) ?

Cioè il database ha ancora la vecchia password ed è la pagina web ad essere stata modificata oppure la password viene cambiata anche nel DB ? (con che autenticazione è stato installato SQL Server ? windows NT o mista ?)

Non ti è possibile (ammesso che lo si voglia fare) cambiare le credenziali di accesso alle pagine di questo sito (in ftp, in..) in modo che il vecchio collaboratore non possa più accedervi ?

**comas17** · 06-01-2011, 16:05

Per vedere la modalità di autenticazione ti colleghi con il Management Studio, selezioni il server - tasto destro - properties - security

Avevo pensato a quello pensando che il problema potesse dipendere da qualche policy del sistema operativo per cui la password scadeva ogni X giorni e che tu utilizzassi nel sito una stringa di connessione con l'utente di windows... ma questo non quadra poi con il fatto che la cambi nel database

Verrebbe da dire che c'è qualcuno (o qualcosa, basta collegarsi al server e lanciare uno script .sql, non serve mica il management studio) che si collega e la cambia... hai osservato una qualche "regolarità" del problema che possa quindi ricollegarsi a qualche policy automatica ? (che ne so, succede ogni settimana, ogni mese, a caso...)

**s.ef** · 06-01-2011, 16:17

Succede random.... quindi non penso a nulla di automatico.

Mi chiedevo se c'è un modo di bloccare la modifica della password per un utente ?? In qualche modo.
Oppure se esiste qualche programma di motorizzazione avanzato per capire cosa cambi la password ??

**comas17** · 06-01-2011, 16:33

Che io sappia non si può impedire ad un utente di cambiarsi la password (domanda a monte: è l'utente che cambia la propria stessa password o è un amministratore che gliela cambia.. ? boh...)
(non è come con gli utenti di un dominio Active Directory in cui si può mettere esplicitamente "user cannot change password"...)

Ho trovato un paio di cose che potrebbero essere interessanti:

http://www.aspfaq.com/sql2005/show.asp?id=26

Se hai la possibilità di accedere direttamente al server ed alle sue impostazioni puoi quantomento "rendere più difficile" la modifica della password

http://stackoverflow.com/questions/7...assword-change

Per loggare i cambi di password

Discussione: Bloccare la modifica password sql server

Strumenti discussione

Ricerca discussione

Visualizza

Bloccare la modifica password sql server

Permessi di invio