Kennwortrichtlinie
SQL Server kann Mechanismen der Windows-Kennwortrichtlinien verwenden. Die Kennwortrichtlinie gilt für eine Anmeldung, die die SQL Server -Authentifizierung verwendet, und für einen eigenständige Datenbankbenutzer mit Kennwort.
SQL Server kann die gleichen Komplexitäts- und Ablaufrichtlinien anwenden, die in Windows für in SQL Serververwendete Kennwörter verwendet werden. Diese Funktion basiert auf der NetValidatePasswordPolicy
-API.
Kennwortkomplexität
Richtlinien zur Kennwortkomplexität werden als Maßnahme gegen Brute Force-Angriffe entworfen. Dabei wird die Anzahl der möglichen Kennwörter erhöht. Wenn eine Richtlinie zur Kennwortkomplexität erzwungen wird, müssen neue Kennwörter die folgenden Richtlinien erfüllen:
Das Kennwort enthält nicht den Kontonamen des Benutzers.
Das Kennwort ist wenigstens acht Zeichen lang.
Das Kennwort enthält Zeichen aus drei der folgenden vier Kategorien:
Lateinische Großbuchstaben (A - Z)
Lateinische Kleinbuchstaben (a - z)
10 Grundziffern (0 - 9)
Nicht alphanumerische Zeichen, wie z. B.: Ausrufezeichen (!), Dollarzeichen ($), Nummernzeichen (#) oder Prozentzeichen (%)
Kennwörter können bis zu 128 Zeichen lang sein. Sie sollten möglichst lange und komplexe Kennwörter verwenden.
Ablauf des Kennworts
Richtlinien zum Ablauf von Kennwörtern werden verwendet, um die Lebensdauer von Kennwörtern zu verwalten. Wenn SQL Server die Richtlinie zum Ablauf von Kennwörtern durchsetzt, werden Benutzer daran erinnert, alte Kennwörter zu ändern. Konten mit abgelaufenen Kennwörtern werden deaktiviert.
Richtliniendurchsetzung
Das Erzwingen der Kennwortrichtlinie kann für jede SQL Server-Anmeldung einzeln konfiguriert werden. Verwenden Sie ALTER LOGIN (Transact-SQL), um die Kennwortrichtlinienoptionen einer SQL Server Anmeldung zu konfigurieren. Die folgenden Regeln gelten für die Konfiguration zur Erzwingung der Kennwortrichtlinie:
Wenn CHECK_POLICY in ON geändert wird, kommt es zu folgenden Verhaltensweisen:
Für CHECK_EXPIRATION wird ebenfalls ON festgelegt, es sei denn, der Wert OFF wurde ausdrücklich festgelegt.
Der Kennwortverlauf wird mit dem Wert des aktuellen Kennworthashes initialisiert.
Kontosperrdauer, Kontensperrungsschwelleund Zurücksetzungsdauer des Kontosperrungszählers sind ebenfalls aktiviert.
Wenn CHECK_POLICY in OFF geändert wird, kommt es zu folgenden Verhaltensweisen:
CHECK_EXPIRATION wird ebenfalls auf OFF festgelegt.
Der Kennwortverlauf wird gelöscht.
Der Wert von
lockout_time
wird zurückgesetzt.
Einige Kombinationen von Richtlinienoptionen werden nicht unterstützt.
Falls MUST_CHANGE angegeben wird, müssen CHECK_EXPIRATION und CHECK_POLICY auf ON festgelegt werden. Andernfalls erzeugt die Anweisung einen Fehler.
Falls CHECK_POLICY auf OFF festgelegt ist, kann CHECK_EXPIRATION nicht auf ON festgelegt werden. Eine ALTER LOGIN-Anweisung mit dieser Kombination von Optionen erzeugt einen Fehler.
Durch Festlegen von CHECK_POLICY = ON wird die Erstellung von Kennwörtern mit folgenden Eigenschaften verhindert:
NULL-Werte oder leere Kennwörter
Kennwörter, die dem Computer- oder Anmeldenamen entsprechen
Eines der folgenden Kennwörter: "kennwort", "admin", "administrator", "sa", "sysadmin"
Die Sicherheitsrichtlinie kann in Windows festgelegt oder von der Domäne abgerufen werden. Um die Kennwortrichtlinie auf dem Computer anzuzeigen, verwenden Sie das MMC-Snap-In „Lokale Sicherheitsrichtlinie“ (secpol.msc).
Related Tasks
Erstellen eines Datenbankbenutzers