Memilih mode autentikasi

Artikel
09/27/2023

Berlaku untuk:SQL Server

Selama penyiapan, Anda harus memilih mode autentikasi untuk Mesin Database. Ada dua mode yang mungkin: mode Autentikasi Windows dan mode campuran. Mode Autentikasi Windows memungkinkan Autentikasi Windows dan menonaktifkan Autentikasi SQL Server. Mode campuran memungkinkan Autentikasi Windows dan Autentikasi SQL Server. Autentikasi Windows selalu tersedia dan tidak dapat dinonaktifkan.

Mengonfigurasi mode autentikasi

Jika Anda memilih Autentikasi Mode Campuran (mode SQL Server dan Autentikasi Windows) selama penyiapan, Anda harus menyediakan lalu mengonfirmasi kata sandi yang kuat untuk akun administrator sistem SQL Server bawaan bernama sa. Akun sa tersambung dengan menggunakan Autentikasi SQL Server.

Jika Anda memilih Autentikasi Windows selama penyiapan, penyiapan akan membuat sa akun untuk Autentikasi SQL Server tetapi dinonaktifkan. Jika nanti Anda mengubah ke Autentikasi Mode Campuran dan ingin menggunakan akun tersebut sa , Anda harus mengaktifkan akun tersebut. Akun Windows atau SQL Server apa pun dapat dikonfigurasi sebagai administrator sistem. sa Karena akun ini terkenal dan sering ditargetkan oleh pengguna berbahaya, jangan aktifkan sa akun kecuali aplikasi Anda memerlukannya. Jangan pernah mengatur kata sandi kosong atau lemah untuk akun tersebut sa . Untuk mengubah dari mode Autentikasi Windows ke Autentikasi Mode Campuran dan menggunakan Autentikasi SQL Server, lihat Mengubah Mode Autentikasi Server.

Koneksi melalui Autentikasi Windows

Ketika pengguna terhubung melalui akun pengguna Windows, SQL Server memvalidasi nama akun dan kata sandi menggunakan token utama Windows dalam sistem operasi. Ini berarti bahwa identitas pengguna dikonfirmasi oleh Windows. SQL Server tidak meminta kata sandi, dan tidak melakukan validasi identitas. Autentikasi Windows adalah mode autentikasi default, dan jauh lebih aman daripada Autentikasi SQL Server. Autentikasi Windows menggunakan protokol keamanan Kerberos, menyediakan pemberlakuan kebijakan kata sandi sehubungan dengan validasi kompleksitas untuk kata sandi yang kuat, memberikan dukungan untuk penguncian akun, dan mendukung kedaluwarsa kata sandi. Koneksi yang dibuat menggunakan Autentikasi Windows terkadang disebut koneksi tepercaya, karena SQL Server mempercayai kredensial yang disediakan oleh Windows.

Dengan menggunakan Autentikasi Windows, grup Windows dapat dibuat di tingkat domain, dan login dapat dibuat di SQL Server untuk seluruh grup. Mengelola akses di tingkat domain dapat menyederhanakan administrasi akun.

Penting

Jika memungkinkan, gunakan autentikasi Windows.

Koneksi melalui Autentikasi SQL Server

Saat menggunakan Autentikasi SQL Server, login dibuat di SQL Server yang tidak didasarkan pada akun pengguna Windows. Nama pengguna dan kata sandi dibuat dengan menggunakan SQL Server dan disimpan di SQL Server. Pengguna yang terhubung menggunakan Autentikasi SQL Server harus memberikan kredensial mereka (masuk dan kata sandi) setiap kali mereka terhubung. Saat menggunakan Autentikasi SQL Server, Anda harus mengatur kata sandi yang kuat untuk semua akun SQL Server. Untuk panduan kata sandi yang kuat, lihat Kata Sandi yang Kuat.

Tiga kebijakan kata sandi opsional tersedia untuk login SQL Server.

Pengguna harus mengganti kata sandi pada sesi masuk berikutnya

Mengharuskan pengguna untuk mengubah kata sandi saat berikutnya pengguna tersambung. Kemampuan untuk mengubah kata sandi disediakan oleh SQL Server Management Studio. Pengembang perangkat lunak pihak ketiga harus menyediakan fitur ini jika opsi ini digunakan.
Terapkan kedaluwarsa kata sandi

Kebijakan usia kata sandi maksimum komputer diberlakukan untuk login SQL Server.
Terapkan kebijakan kata sandi

Kebijakan kata sandi Windows komputer diberlakukan untuk masuk SQL Server. Ini termasuk panjang dan kompleksitas kata sandi. Fungsionalitas ini tergantung pada NetValidatePasswordPolicy API, yang hanya tersedia di Windows Server 2003 dan versi yang lebih baru.

Untuk menentukan kebijakan kata sandi komputer lokal

Pada menu Mulai , pilih Jalankan.
Dalam kotak dialog Jalankan , ketik secpol.msc, lalu pilih OK.
Di aplikasi Pengaturan Keamanan Lokal, perluas Pengaturan Keamanan, perluas Kebijakan Akun, lalu pilih Kebijakan Kata Sandi.

Kebijakan kata sandi dijelaskan di panel hasil.

Kerugian Autentikasi SQL Server

Jika pengguna adalah pengguna domain Windows yang memiliki login dan kata sandi untuk Windows, mereka masih harus menyediakan login dan kata sandi lain (SQL Server) untuk menyambungkan. Melacak beberapa nama dan kata sandi sulit bagi banyak pengguna. Harus memberikan kredensial SQL Server setiap kali pengguna tersambung ke database dapat mengganggu.
Autentikasi SQL Server tidak dapat menggunakan protokol keamanan Kerberos.
Windows menawarkan kebijakan kata sandi tambahan yang tidak tersedia untuk masuk SQL Server.
Kata sandi masuk Autentikasi SQL Server terenkripsi harus diteruskan melalui jaringan pada saat koneksi. Beberapa aplikasi yang terhubung secara otomatis akan menyimpan kata sandi di klien. Ini adalah titik serangan tambahan.

Keuntungan Autentikasi SQL Server

Memungkinkan SQL Server mendukung aplikasi dan aplikasi lama yang disediakan oleh pihak ketiga yang memerlukan Autentikasi SQL Server.
Memungkinkan SQL Server mendukung lingkungan dengan sistem operasi campuran, di mana semua pengguna tidak diautentikasi oleh domain Windows.
Memungkinkan pengguna untuk terhubung dari domain yang tidak diketahui atau tidak tepercaya. Misalnya, aplikasi tempat pelanggan yang mapan terhubung dengan login SQL Server yang ditetapkan untuk menerima status pesanan mereka.
Memungkinkan SQL Server mendukung aplikasi berbasis web tempat pengguna membuat identitas mereka sendiri.
Memungkinkan pengembang perangkat lunak mendistribusikan aplikasi mereka dengan menggunakan hierarki izin yang kompleks berdasarkan login SQL Server yang diketahui dan telah disetel sebelumnya.

Catatan

Menggunakan Autentikasi SQL Server tidak membatasi izin administrator lokal di komputer tempat SQL Server diinstal.