Wybieranie trybu uwierzytelniania
Dotyczy:programu SQL Server
Podczas instalacji należy wybrać tryb uwierzytelniania dla silnika bazy danych. Istnieją dwa możliwe tryby: tryb uwierzytelniania systemu Windows i tryb mieszany. Tryb uwierzytelniania systemu Windows włącza uwierzytelnianie systemu Windows i wyłącza uwierzytelnianie programu SQL Server. Tryb mieszany umożliwia zarówno uwierzytelnianie systemu Windows, jak i uwierzytelnianie programu SQL Server. Uwierzytelnianie systemu Windows jest zawsze dostępne i nie można go wyłączyć.
Konfigurowanie trybu uwierzytelniania
Jeśli podczas instalacji wybierzesz opcję Uwierzytelnianie w trybie mieszanym (SQL Server i Tryb uwierzytelniania systemu Windows), musisz podać i potwierdzić silne hasło dla wbudowanego konta administratora systemu programu SQL Server o nazwie sa
. Konto sa
łączy się przy użyciu uwierzytelniania programu SQL Server.
W przypadku wybrania opcji Uwierzytelnianie systemu Windows podczas instalacji, instalator tworzy konto sa
na potrzeby uwierzytelniania w SQL Server, lecz to konto jest wyłączone. Jeśli później zmienisz uwierzytelnianie w trybie mieszanym i chcesz użyć konta sa
, musisz włączyć konto. Dowolne konto systemu Windows lub PROGRAMU SQL Server można skonfigurować jako administrator systemu. Ponieważ konto sa
jest dobrze znane i często atakowane przez złośliwych użytkowników, nie włączaj konta sa
, chyba że aplikacja tego wymaga. Nigdy nie ustawiaj pustego lub słabego hasła dla konta sa
. Aby zmienić tryb uwierzytelniania systemu Windows na uwierzytelnianie mieszane i użyć uwierzytelniania programu SQL Server, zobacz Zmień tryb uwierzytelniania serwera.
Nawiązywanie połączenia za pośrednictwem uwierzytelniania systemu Windows
Gdy użytkownik łączy się za pośrednictwem konta użytkownika systemu Windows, program SQL Server weryfikuje nazwę konta i hasło przy użyciu tokenu głównego systemu Windows w systemie operacyjnym. Oznacza to, że tożsamość użytkownika jest potwierdzana przez system Windows. Program SQL Server nie pyta o hasło i nie wykonuje weryfikacji tożsamości użytkownika. Uwierzytelnianie systemu Windows jest domyślnym trybem uwierzytelniania i jest znacznie bezpieczniejsze niż uwierzytelnianie programu SQL Server. Uwierzytelnianie systemu Windows używa protokołu zabezpieczeń New Technology LAN Manager (NTLM) lub Kerberos, zapewnia wymuszanie zasad haseł w odniesieniu do walidacji złożoności silnych haseł, zapewnia obsługę blokady konta i obsługuje wygaśnięcie hasła. Połączenie nawiązane przy użyciu uwierzytelniania systemu Windows jest czasami nazywane zaufanym połączeniem, ponieważ program SQL Server ufa poświadczeniam dostarczonym przez system Windows.
Aby uzyskać informacje na temat konfigurowania protokołu Kerberos, zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Za pomocą uwierzytelniania systemu Windows grupy systemu Windows można utworzyć na poziomie domeny, a identyfikator logowania można utworzyć w programie SQL Server dla całej grupy. Zarządzanie dostępem na poziomie domeny może uprościć administrowanie kontem.
Ważny
Jeśli to możliwe, użyj uwierzytelniania systemu Windows.
Nawiązywanie połączenia za pomocą uwierzytelniania programu SQL Server
W przypadku korzystania z uwierzytelniania programu SQL Server nazwy logowania są tworzone w programie SQL Server, które nie są oparte na kontach użytkowników systemu Windows. Zarówno nazwa użytkownika, jak i hasło są tworzone przy użyciu programu SQL Server i przechowywane w programie SQL Server. Użytkownicy łączący się przy użyciu uwierzytelniania programu SQL Server muszą podać swoje poświadczenia (identyfikator logowania i hasło) za każdym razem, gdy nawiążą połączenie. W przypadku korzystania z uwierzytelniania programu SQL Server należy ustawić silne hasła dla wszystkich kont programu SQL Server. Aby uzyskać wskazówki dotyczące silnych haseł, zobacz silne hasła.
Dla logowania programu SQL Server są dostępne trzy opcjonalne zasady haseł.
Użytkownik musi zmienić hasło przy następnym logowaniu
Wymaga od użytkownika zmiany hasła przy następnym połączeniu użytkownika. Możliwość zmiany hasła jest udostępniana przez program SQL Server Management Studio. Jeśli ta opcja jest używana, inni deweloperzy oprogramowania firmowego powinni udostępnić tę funkcję.
Wymuszanie wygaśnięcia hasła
Maksymalna zasada wieku hasła komputera jest wymuszana dla logowań programu SQL Server.
Wymuszanie zasad haseł
Zasady haseł systemu Windows komputera są wymuszane dla logowań programu SQL Server. Obejmuje to długość i złożoność hasła. Ta funkcja zależy od interfejsu API
NetValidatePasswordPolicy
, który jest dostępny tylko w systemie Windows Server 2003 i nowszych wersjach.
Aby określić zasady haseł komputera lokalnego
W menu Start wybierz pozycję Uruchom.
W oknie dialogowym Uruchom wpisz secpol.msc, a następnie wybierz pozycję OK.
W aplikacji Ustawienia zabezpieczeń lokalnych, rozwiń Ustawienia zabezpieczeń, rozwiń Polityki konta, a następnie wybierz Polityka haseł.
Zasady haseł są opisane w okienku wyników.
Wady uwierzytelniania programu SQL Server
Jeśli użytkownik jest użytkownikiem domeny systemu Windows, który ma identyfikator logowania i hasło dla systemu Windows, musi nadal podać inne (SQL Server) identyfikator logowania i hasło, aby nawiązać połączenie. Śledzenie wielu nazw i haseł jest trudne dla wielu użytkowników. Konieczność podawania poświadczeń programu SQL Server za każdym razem, gdy użytkownik nawiązuje połączenie z bazą danych, może być irytująca.
Uwierzytelnianie programu SQL Server nie może używać protokołu zabezpieczeń Kerberos.
System Windows oferuje dodatkowe zasady haseł, które nie są dostępne dla logowań programu SQL Server.
Zaszyfrowane hasło logowania uwierzytelniania programu SQL Server musi być przekazywane przez sieć w momencie połączenia. Niektóre aplikacje, które łączą się automatycznie, będą przechowywać hasło na kliencie. Są to dodatkowe punkty ataku.
Zalety uwierzytelniania programu SQL Server
Umożliwia programowi SQL Server obsługę starszych aplikacji i aplikacji udostępnianych przez inne firmy, które wymagają uwierzytelniania programu SQL Server.
Umożliwia programowi SQL Server obsługę środowisk z mieszanymi systemami operacyjnymi, w których wszyscy użytkownicy nie są uwierzytelniani przez domenę systemu Windows.
Umożliwia użytkownikom łączenie się z nieznanych lub niezaufanych domen. Na przykład aplikacja, w której ustaleni klienci łączą się z przypisanymi loginami SQL Server, aby otrzymywać stan swoich zamówień.
Umożliwia programowi SQL Server obsługę aplikacji internetowych, w których użytkownicy tworzą własne tożsamości.
Umożliwia deweloperom oprogramowania dystrybucję swoich aplikacji przy użyciu złożonej hierarchii uprawnień na podstawie znanych, wstępnych logowań programu SQL Server.
Nota
Korzystanie z uwierzytelniania programu SQL Server nie ogranicza uprawnień administratorów lokalnych na komputerze, na którym jest zainstalowany program SQL Server.
Powiązana zawartość
- zagadnienia dotyczące zabezpieczeń instalacji programu SQL Server