Freigeben über


Auswählen eines Authentifizierungsmodus

Gilt für: SQL Server

Während des Setups müssen Sie einen Authentifizierungsmodus für auswählen. Es gibt zwei mögliche Modi: den Windows-Authentifizierungsmodus und den gemischten Modus. Der Windows-Authentifizierungsmodus aktiviert die Windows-Authentifizierung und deaktiviert die -Authentifizierung. Der gemischte Modus aktiviert sowohl die Windows-Authentifizierung als auch die -Authentifizierung. Die Windows-Authentifizierung ist immer verfügbar und kann nicht deaktiviert werden.

Konfigurieren des Authentifizierungsmodus

Bei Auswahl der Authentifizierung im gemischten Modus während des Setups müssen Sie ein sicheres Kennwort für das vordefinierte sa -Systemadministratorkonto mit der Bezeichnung sa angeben und dann bestätigen. Das sa-Konto stellt eine Verbindung mithilfe der sa -Authentifizierung her.

Wenn Sie während des Setups Windows-Authentifizierung auswählen, erstellt Setup das sa-Konto für die SQL Server-Authentifizierung, die aber deaktiviert ist. Wenn Sie später zur Authentifizierung im gemischten Modus wechseln und das sa-Konto verwenden möchten, müssen Sie es aktivieren. Jedes Windows- oder -Konto kann als Systemadministrator konfiguriert werden. Da das sa-Konto bekannt und oft das Ziel böswilliger Benutzer ist, aktivieren Sie das sa-Konto nur, wenn Ihre Anwendung dies erfordert. Legen Sie auf keinen Fall ein leeres oder unsicheres Kennwort für das sa-Konto fest. Informationen zum Wechseln vom Windows-Authentifizierungsmodus zur Authentifizierung im gemischten Modus und zum Verwenden der -Authentifizierung finden Sie unter Ändern des Serverauthentifizierungsmodus.

Herstellen von Verbindungen mithilfe der Windows-Authentifizierung

Wenn ein Benutzer eine Verbindung über ein Windows-Benutzerkonto herstellt, überprüft Kontonamen und Kennwort mithilfe des Tokens für den Windows-Prinzipal im Betriebssystem. Dies bedeutet, dass die Benutzeridentität von Windows bestätigt wird. werden Sie nicht nach dem Kennwort gefragt, und es wird keine Identitätsüberprüfung ausgeführt. Die Windows-Authentifizierung ist der Standardauthentifizierungsmodus und bietet eine höhere Sicherheit als -Authentifizierung. Die Windows-Authentifizierung verwendet das Sicherheitsprotokoll New Technology LAN Manager (NTLM) oder das Kerberos-Sicherheitsprotokoll, stellt Maßnahmen zur Durchsetzung von Kennwortrichtlinien, z. B. zur Überprüfung der Komplexität sicherer Kennwörter, bereit und bietet Unterstützung für Kontosperrungen und Ablauf von Kennwörtern. Eine mit Windows-Authentifizierung hergestellte Verbindung wird manchmal als vertrauenswürdige Verbindung bezeichnet, da die von Windows bereitgestellten Anmeldeinformationen von SQL Server als vertrauenswürdig angesehen werden.

Informationen zur Konfiguration von Kerberos finden Sie unter Registrieren eines Dienstprinzipalnamens für Kerberos-Verbindungen.

Durch die Verwendung der Windows-Authentifizierung können Windows-Gruppen auf Domänenebene und eine Anmeldung in für die gesamte Gruppe erstellt werden. Die Zugriffsverwaltung auf Domänenebene kann die Kontoverwaltung vereinfachen.

Wichtig

Verwenden Sie nach Möglichkeit die Windows-Authentifizierung.

Herstellen von Verbindungen mithilfe der SQL Server-Authentifizierung

Bei Verwendung der SQL Server-Authentifizierung werden in SQL Server Anmeldungen erstellt, die nicht auf Windows-Benutzerkonten basieren. Der Benutzername und das Kennwort werden mithilfe von SQL Server erstellt und in SQL Server gespeichert. Benutzer, die mit -Authentifizierung eine Verbindung herstellen, müssen jedes Mal ihre Anmeldeinformationen (Anmeldename und Kennwort) bereitstellen, wenn sie eine Verbindung herstellen. Bei der Verwendung von -Authentifizierung müssen Sie sichere Kennwörter für alle -Konten festlegen. Richtlinien zu sicheren Kennwörtern finden Sie unter Strong Passwords.

Es sind drei optionale Kennwortrichtlinien für -Anmeldungen verfügbar.

  • Benutzer muss das Kennwort bei der nächsten Anmeldung ändern

    Erfordert das Ändern des Kennworts durch den Benutzer beim nächsten Herstellen einer Verbindung. Die Möglichkeit, das Kennwort zu ändern, wird von bereitgestellt. Softwareentwickler von Drittanbietern sollten diese Funktion bereitstellen, wenn diese Option verwendet wird.

  • Ablauf des Kennworts erzwingen

    Die Richtlinie des Computers für das maximale Kennwortalter wird für -Anmeldungen erzwungen.

  • Kennwortrichtlinie erzwingen

    Die Windows-Kennwortrichtlinien des Computers werden für -Anmeldungen erzwungen. Dies schließt Kennwortlänge und -komplexität ein. Diese Funktionalität hängt von der NetValidatePasswordPolicy-API ab, die nur in Windows Server 2003 und späteren Versionen verfügbar ist.

So bestimmen Sie die Kennwortrichtlinien für den lokalen Computer

  1. Wählen Sie im StartmenüAusführen aus.

  2. Geben Sie secpol.msc im Dialogfeld Ausführenein, und klicken Sie dann auf OK.

  3. Erweitern Sie in der Anwendung Lokale Sicherheitseinstellung die Sicherheitseinstellungen, erweitern Sie Kontorichtlinien, und klicken Sie dann auf Kennwortrichtlinie.

    Die Kennwortrichtlinien werden im Ergebnisbereich beschrieben.

Nachteile der SQL Server-Authentifizierung

  • Wenn ein Benutzer ein Windows-Domänenbenutzer ist und über einen Anmeldenamen und ein Kennwort für Windows verfügt, muss er trotzdem einen weiteren ()-Anmeldenamen und ein weiteres Kennwort angeben, um eine Verbindung herzustellen. Das Nachverfolgen mehrerer Namen und Kennwörter ist für viele Benutzer schwierig. Bei jedem Herstellen einer Verbindung -Anmeldeinformationen angeben zu müssen, kann ärgerlich sein.

  • Für die SQL Server-Authentifizierung kann das Kerberos-Sicherheitsprotokoll nicht verwendet werden.

  • Windows bietet zusätzliche Kennwortrichtlinien, die für -Anmeldungen nicht verfügbar sind.

  • Das verschlüsselte Anmeldekennwort für die -Authentifizierung muss beim Herstellen der Verbindung über das Netzwerk übergeben werden. Einige Anwendungen, die automatisch eine Verbindung herstellen, speichern das Kennwort auf dem Client. So entstehen zusätzliche Angriffspunkte.

Vorteile der SQL Server-Authentifizierung

  • Ermöglicht SQL Azure die Unterstützung von älteren Anwendungen sowie von Drittanbieteranwendungen, für die eine SQL Server-Authentifizierung erforderlich ist.

  • Ermöglicht , Umgebungen mit gemischten Betriebssystemen zu unterstützen, in denen nicht alle Benutzer von einer Windows-Domäne authentifiziert werden.

  • Ermöglicht es Benutzern, von unbekannten oder nicht vertrauenswürdigen Domänen aus eine Verbindung herzustellen. Beispiel: Eine Anwendung, bei der etablierte Kunden eine Verbindung mit zugewiesenen SQL Server-Anmeldungen herstellen, um den Status ihrer Bestellungen zu erhalten.

  • Ermöglicht SQL-Datenbank die Unterstützung webbasierter Anwendungen, für die Benutzer ihre eigenen Identitäten erstellen.

  • Ermöglicht Softwareentwicklern die Verteilung ihrer Anwendungen mithilfe einer komplexen Berechtigungshierarchie, die auf bekannten, voreingestellten SQL Server-Anmeldungen basiert.

    Hinweis

    Das Verwenden von -Authentifizierung schränkt die Berechtigungen lokaler Administratoren für den Computer nicht ein, wenn installiert ist.