Elegir un modo de autenticación

  • Artículo

Durante la instalación, debe seleccionar un modo de autenticación para Motor de base de datos. Hay dos posibles modos: modo de autenticación de Windows y modo mixto. El modo de autenticación de Windows habilita la autenticación de Windows y deshabilita la autenticación de SQL Server . El modo mixto habilita tanto la autenticación de Windows como la de SQL Server . La autenticación de Windows está disponible siempre y no se puede deshabilitar.

Configurar el modo de autenticación

Si selecciona la autenticación de modo mixto durante la instalación, debe proporcionar una contraseña segura, y confirmarla después, para la cuenta integrada de administrador del sistema de SQL Server denominada sa. La cuenta sa se conecta mediante la autenticación de SQL Server .

Si selecciona la autenticación de Windows durante la instalación, el programa de instalación crea la cuenta sa para la autenticación de SQL Server pero se deshabilita. Si después cambia a la autenticación de modo mixto y desea utilizar la cuenta sa, debe habilitar la cuenta. Cualquier cuenta de SQL Server o de Windows se puede configurar como del administrador del sistema. Dado que la cuenta sa es muy conocida y a menudo es el objetivo de usuarios malintencionados, no la habilite a menos que la aplicación lo requiera. Nunca establezca una contraseña en blanco o con poca seguridad para la cuenta sa. Para cambiar del modo de autenticación de Windows a la autenticación de modo mixto y usar la autenticación de SQL Server , vea Cambiar el modo de autenticación del servidor.

Conectar a través de la autenticación de Windows

Cuando un usuario se conecta a través de una cuenta de usuario de Microsoft Windows, SQL Server valida el nombre de cuenta y la contraseña con el token de la entidad de seguridad de Windows del sistema operativo. Esto significa que Windows confirma la identidad del usuario. SQL Server no pide la contraseña y no realiza la validación de identidad. La autenticación de Windows es el modo de autenticación predeterminado y es mucho más seguro que la autenticación de SQL Server . La autenticación de Windows usa el protocolo de seguridad de Kerberos, proporciona la aplicación de directivas de contraseñas en cuanto a la validación de la complejidad de las contraseñas seguras, ofrece compatibilidad para el bloqueo de cuentas y admite la expiración de las contraseñas. Una conexión realizada utilizando la autenticación de Windows se denomina a veces conexión de confianza, porque SQL Server confía en las credenciales proporcionadas por Windows.

Cuando se emplea la autenticación de Windows, se pueden crear grupos de Windows en el nivel de dominio y se puede crear un inicio de sesión en SQL Server para todo el grupo. La administración del acceso desde el nivel de dominio puede simplificar la administración de cuentas.

Importante

Siempre que sea posible, utilice la autenticación de Windows.

Conectar a través de la autenticación de SQL Server

Cuando se utiliza la autenticación de SQL Server , los inicios de sesión se crean en SQL Server y no se basan en cuentas de usuario de Windows. El nombre de usuario y la contraseña se crean utilizando SQL Server y se almacenan en SQL Server. Los usuarios que se conectan usando la autenticación de SQL Server deben indicar sus credenciales (inicio de sesión y contraseña) cada vez que se conectan. Al utilizar la autenticación de SQL Server , debe establecer contraseñas seguras para todas las cuentas de SQL Server . Para obtener las directrices para contraseñas seguras, vea Strong Passwords.

Hay tres directivas de contraseñas opcionales para los inicios de sesión de SQL Server .

  • El usuario debe cambiar la contraseña en el siguiente inicio de sesión

    Exige que el usuario cambie la contraseña la próxima vez que se conecte. SQL Server Management Studioproporciona la capacidad de cambiar la contraseña. Otros desarrolladores de software deberían proporcionar esta característica si se utiliza esta opción.

  • Exigir expiración de contraseña

    La directiva de duración máxima de la contraseña del equipo se exige para los inicios de sesión de SQL Server .

  • Exigir directivas de contraseñas

    Las directivas de contraseñas de Windows del equipo se exigen para los inicios de sesión de SQL Server . Esto incluye la longitud y complejidad de las contraseñas. Esta funcionalidad depende de la API NetValidatePasswordPolicy , que solo está disponible en Windows Server 2003 y versiones posteriores.

Para determinar las directivas de las contraseñas del equipo local

  1. En el menú Inicio , haga clic en Ejecutar.

  2. En el cuadro de diálogo Ejecutar , escriba secpol.mscy, a continuación, haga clic en Aceptar.

  3. En la aplicación Configuración de seguridad local , expanda Configuración de seguridad, expanda Directivas de cuentay, a continuación, haga clic en Directiva de contraseñas.

    Las directivas de contraseñas se describen en el panel de resultados.

Desventajas de la autenticación de SQL Server

  • Si un usuario es un usuario de dominio de Windows que tiene un inicio de sesión y una contraseña para Windows, debe proporcionar otro inicio de sesión (SQL Server) y contraseña para conectarse. Hacer el seguimiento de varios nombres y contraseñas es difícil para muchos usuarios. Tener que proporcionar las credenciales de SQL Server cada vez que se conectan a la base de datos puede resultar molesto.

  • SQL Server no puede utilizar el protocolo de seguridad de Kerberos.

  • Windows proporciona directivas de contraseñas adicionales que no están disponibles para los inicios de sesión de SQL Server .

  • La contraseña de inicio de sesión cifrada de la autenticación de SQL Server se debe pasar a través de la red en el momento de la conexión. Algunas aplicaciones que se conectan automáticamente almacenarán la contraseña en el cliente. Estos puntos de ataque adicionales.

Ventajas de la autenticación de SQL Server

  • Permite a SQL Server admitir aplicaciones anteriores y aplicaciones proporcionadas por terceros que requieren la autenticación de SQL Server .

  • Permite que SQL Server admita entornos con sistemas operativos mixtos, en los que un dominio de Windows no autentica a todos los usuarios.

  • Permite a los usuarios conectarse desde dominios desconocidos o que no son de confianza. Por ejemplo, una aplicación en la que los clientes establecidos se conectan con los inicios de sesión de SQL Server asignados para recibir el estado de sus pedidos.

  • Permite que SQL Server admita aplicaciones basadas en web en las que los usuarios crean sus propias identidades.

  • Permite a los desarrolladores de software distribuir sus aplicaciones utilizando una jerarquía de permisos compleja basada en los inicios de sesión conocidos y preestablecidos de SQL Server .

    Nota

    Al utilizar la autenticación de SQL Server , no se limitan los permisos de los administradores locales en el equipo donde se instala SQL Server .

Consulte también

Consideraciones de seguridad para una instalación de SQL Server