Поделиться через


Политика паролей

SQL Server поддерживается использование механизмов политики паролей Windows. Политика паролей применяется к имени входа, которое использует проверку подлинности SQL Server , и к пользователю автономной базы данных с паролем.

SQL Server могут применяться политики сложности и истечения срока действия, которые применяются в Windows к паролям, используемым в SQL Server. Эти возможности построены на API-интерфейсе NetValidatePasswordPolicy .

Сложность пароля

Политика сложности паролей позволяет отражать атаки, использующие простой перебор, путем увеличения числа возможных паролей. Если применяется политика сложности паролей, новые пароли должны удовлетворять следующим требованиям.

  • Пароль не содержит имя учетной записи пользователя.

  • Длина пароля составляет не менее восьми символов.

  • Пароль содержит символы, соответствующие трем из следующих четырех категорий:

    • прописные латинские буквы (А-Z)

    • строчные латинские буквы (a-z)

    • цифры (0-9)

    • Символы, отличные от буквенно-цифровых: восклицательный знак (!), знак доллара ($), решетка (#) или знак процента (%).

Пароли могут иметь длину до 128 символов. Рекомендуется использовать максимально длинные и сложные пароли.

Истечение срока действия пароля

Политика истечения срока действия паролей используется для управления продолжительностью действия пароля. Когда SQL Server применяет политику истечения срока действия паролей, пользователи получают уведомления о необходимости изменения старых паролей, а учетные записи с истекшим сроком действия пароля отключаются.

Применение политики

Применение политики паролей можно настроить отдельно для каждого имени входа SQL Server. Используйте инструкцию ALTER LOGIN (Transact-SQL), чтобы настроить параметры политики паролей SQL Server имени входа. Для настройки принудительного применения политики паролей действуют следующие правила.

  • При переключении параметра CHECK_POLICY на значение ON происходит следующее:

    • параметр CHECK_EXPIRATION также изменяется на ON, если он не будет прямо изменен на OFF;

    • Журнал паролей инициализируется значением хэша текущего пароля.

    • Включены также параметрыпродолжительность существования блокировки учетной записи, пороговое значение блокировки учетной записии сброс счетчика блокировки учетной записи после .

  • При переключении параметра CHECK_POLICY в значение OFF происходит следующее:

    • Параметр CHECK_EXPIRATION также получает значение OFF.

    • Журнал паролей очищается.

    • Значение параметра lockout_time сбрасывается.

Некоторые сочетания параметров политик не поддерживаются.

  • Если задан параметр MUST_CHANGE, то параметры CHECK_EXPIRATION и CHECK_POLICY должны иметь значение ON. В противном случае выполнение инструкции приведет к ошибке.

  • Если значение параметра CHECK_POLICY установлено равным OFF, то параметр CHECK_EXPIRATION не может иметь значения ON. Выполнение инструкции ALTER LOGIN с таким сочетанием параметров завершится ошибкой.

При установке параметра CHECK_POLICY = ON блокируется создание следующих паролей:

  • пустых или неопределенных;

  • совпадающих с именем компьютера или именем входа;

  • представляющих собой любую из следующих строк: "password", "admin", "administrator", "sa", "sysadmin".

Политика безопасности может быть настроена в Windows или получена из домена. Для просмотра политики паролей на компьютере используется оснастка консоли управления "Локальная политика безопасности" (secpol.msc).

CREATE LOGIN (Transact-SQL)

ALTER LOGIN (Transact-SQL)

CREATE USER (Transact-SQL)

ALTER USER (Transact-SQL)

Создание имени входа

Создание пользователя базы данных

Надежные пароли