Scegliere una modalità di autenticazione
Durante l'installazione, è necessario selezionare una modalità di autenticazione per il motore di database. Esistono due possibili modalità: modalità di autenticazione di Windows e modalità mista. La modalità di autenticazione di Windows abilita l'autenticazione di Windows e disabilita l'autenticazione SQL Server. La modalità mista abilita sia l'autenticazione di Windows che l'autenticazione SQL Server. L'autenticazione di Windows è sempre disponibile e non può essere disabilitata.
Configurazione della modalità di autenticazione
Se si seleziona Autenticazione in modalità mista durante l'installazione, è necessario specificare e quindi confermare una password complessa per l'account amministratore di sistema SQL Server predefinito denominato sa. L'account sa si connette usando SQL Server Autenticazione.
Se si seleziona Autenticazione di Windows durante l'installazione, il programma di installazione crea l'account sa per SQL Server Autenticazione, ma è disabilitato. Se successivamente si passa all'autenticazione in modalità mista e si desidera utilizzare l'account sa, sarà necessario abilitarlo. Qualsiasi account Windows o SQL Server può essere configurato come amministratore di sistema. Poiché l'account sa è un account noto ed è spesso preso di mira dagli utenti malintenzionati, si consiglia di abilitarlo solo se richiesto dall'applicazione. Non impostare mai password vuote o vulnerabili per l'account sa. Per passare dalla modalità di autenticazione di Windows all'autenticazione in modalità mista e usare l'autenticazione SQL Server, vedere Modificare la modalità di autenticazione del server.
Connessione tramite l'autenticazione di Windows
Quando un utente si connette tramite un account utente di Windows, SQL Server convalida il nome e la password dell'account usando il token principale di Windows nel sistema operativo. L'identità utente viene pertanto verificata da Windows. SQL Server non richiede la password e non esegue la convalida dell'identità. L'autenticazione di Windows è la modalità di autenticazione predefinita ed è molto più sicura di SQL Server Autenticazione. L'autenticazione di Windows, per la quale viene utilizzato il protocollo di sicurezza Kerberos, garantisce l'applicazione dei criteri password mediante convalida della complessità delle password complesse, offre il supporto per il blocco dell'account e la scadenza delle password. Una connessione eseguita tramite l'autenticazione di Windows viene talvolta chiamata connessione attendibile, perché SQL Server considera attendibili le credenziali fornite da Windows.
Usando l'autenticazione di Windows, i gruppi di Windows possono essere creati a livello di dominio e un account di accesso può essere creato in SQL Server per l'intero gruppo. Gestire l'accesso a livello di dominio può semplificare l'amministrazione di account.
Importante
Se possibile, usare l'autenticazione di Windows.
Connessione tramite l'autenticazione di SQL Server
Quando si usa l'autenticazione di SQL Server, in SQL Server vengono creati account di accesso che non sono basati su account utente di Windows. Sia il nome utente che la password vengono creati mediante SQL Server e archiviati in SQL Server. Gli utenti che si connettono usando SQL Server Autenticazione devono fornire le credenziali (account di accesso e password) ogni volta che si connettono. Quando si usa SQL Server Autenticazione, è necessario impostare password complesse per tutti gli account SQL Server. Per consultare le linee guida per la creazione di password complesse, vedere Password complesse.
Sono disponibili tre criteri di password facoltativi per gli account di accesso SQL Server.
Richiedi modifica della password all'accesso successivo
Viene richiesto di modificare la password alla connessione successiva dell'utente. La possibilità di modificare la password viene fornita dalla SQL Server Management Studio. Se viene selezionata questa opzione, gli sviluppatori software di terze parti devono fornire questa funzionalità.
Imponi scadenza password
I criteri di età massima della password del computer vengono applicati per gli account di accesso SQL Server.
Applica criteri password
I criteri password di Windows del computer vengono applicati per gli account di accesso SQL Server. tra cui quelli relativi alla lunghezza e alla complessità delle password. Questa funzionalità dipende dall'API
NetValidatePasswordPolicy
, disponibile solo in Windows Server 2003 e versioni successive.
Per determinare i criteri password del computer locale
Fare clic sul menu Start e scegliere Esegui.
Nella finestra di dialogo Esegui digitare
secpol.msc
e quindi fare clic su OK.Nell'applicazione Impostazioni sicurezza locale espandere Impostazioni di sicurezzae Criteri account, quindi fare clic su Criteri password.
I criteri password sono descritti nel riquadro dei risultati.
Svantaggi dell'autenticazione di SQL Server
Se un utente è un utente di dominio Windows con accesso e password per Windows, deve comunque fornire un altro account di accesso e password (SQL Server) per connettersi. Tenere traccia di più nomi e password è un'operazione problematica per molti utenti. Dover fornire SQL Server credenziali ogni volta che si connette al database può essere fastidioso.
SQL Server L'autenticazione non può usare il protocollo di sicurezza Kerberos.
Windows offre criteri di password aggiuntivi che non sono disponibili per gli account di accesso SQL Server.
La password di accesso di autenticazione crittografata SQL Server deve essere passata tramite la rete al momento della connessione. In alcune applicazioni che si connettono automaticamente, la password verrà archiviata nel client, creando punti di attacco aggiuntivi.
Vantaggi dell'autenticazione di SQL Server
Consente SQL Server di supportare applicazioni e applicazioni meno recenti fornite da terze parti che richiedono SQL Server Autenticazione.
Consente SQL Server di supportare gli ambienti con sistemi operativi misti, in cui tutti gli utenti non vengono autenticati da un dominio Windows.
Consente agli utenti di connettersi da domini sconosciuti o non attendibili. Ad esempio, un'applicazione in cui clienti specifici si connettono con account di accesso di SQL Server assegnati per ricevere lo stato dei relativi ordini.
Consente SQL Server di supportare applicazioni basate sul Web in cui gli utenti creano le proprie identità.
Consente agli sviluppatori di software di distribuire le proprie applicazioni tramite una gerarchia di autorizzazioni complessa, basata su account di accesso di SQL Server noti e preimpostati.
Nota
L'uso di SQL Server Autenticazione non limita le autorizzazioni degli amministratori locali nel computer in cui è installato SQL Server.
Vedere anche
Considerazioni sulla sicurezza per un'installazione di SQL Server