Condividi tramite

Criteri password

  • Articolo

In SQL Server è possibile utilizzare meccanismi di criteri password di Windows. I criteri password si applicano a un account di accesso che utilizza l'autenticazione SQL Server e a un utente del database indipendente con password.

In SQL Server è possibile applicare gli stessi criteri di complessità e scadenza utilizzati in Windows Server 2003 alle password all'interno di SQL Server. Questa funzionalità dipende dall'API NetValidatePasswordPolicy.

Complessità delle password

I criteri di complessità delle password sono progettati per fungere da deterrente agli attacchi a forza bruta aumentando il numero di password possibili. Quando vengono applicati i criteri di complessità delle password, le nuove password devono soddisfare i requisiti seguenti:

  • Non devono contenere il nome account dell'utente.

  • Devono essere composte da almeno otto caratteri.

  • Devono contenere caratteri di almeno tre delle quattro categorie seguenti:

    • Lettere maiuscole dell'alfabeto latino (dalla A alla Z)

    • Lettere minuscole dell'alfabeto latino (dalla a alla z)

    • Numeri in base 10 (da 0 a 9)

    • Caratteri non alfanumerici, ad esempio punto esclamativo (!), dollaro ($), simbolo di cancelletto (#) o percentuale (%).

Le password possono contenere fino a 128 caratteri. È consigliabile utilizzare password più lunghe e complesse possibile.

Scadenza delle password

I criteri di scadenza delle password consentono di gestire l'intervallo di validità di una password. Se in SQL Server vengono applicati i criteri di scadenza delle password, gli utenti ricevono un promemoria per la modifica delle vecchie password e gli account con password scadute vengono disabilitati.

Applicazione dei criteri

L'applicazione dei criteri password può essere configurata separatamente per ogni account di accesso di SQL Server. Utilizzare ALTER LOGIN (Transact-SQL) per configurare i criteri password di un account di accesso di SQL Server. Le regole seguenti sono valide per la configurazione dell'applicazione dei criteri password:

  • Quando l'opzione CHECK_POLICY viene impostata su ON, si ottiene il comportamento seguente:

    • Anche CHECK_EXPIRATION viene impostato su ON, a meno che non lo si imposti esplicitamente su OFF.

    • La cronologia delle password viene inizializzata con il valore dell'hash della password corrente.

    • Vengono inoltre abilitate le opzioni Durata blocco account, Soglia di blocchi dell'account e Reimposta blocco account dopo.

  • Quando l'opzione CHECK_POLICY viene impostata su OFF, si ottiene il comportamento seguente:

    • Anche CHECK_EXPIRATION viene impostato su OFF.

    • La cronologia delle password viene cancellata.

    • Viene reimpostato il valore di lockout_time.

Alcune combinazioni di criteri non sono supportate.

  • Se si specifica MUST_CHANGE, è necessario impostare CHECK_EXPIRATION e CHECK_POLICY su ON. In caso contrario, l'istruzione non riesce.

  • Se l'opzione CHECK_POLICY è impostata su OFF, non è possibile impostare CHECK_EXPIRATION su ON. Un'istruzione ALTER LOGIN che presenta questa combinazione di opzioni avrà esito negativo.

L'impostazione di CHECK_POLICY su ON impedirà la creazione di password:

  • Null o vuote

  • Equivalenti al nome del computer o dell'account di accesso

  • Equivalenti a parole quali "password", "admin", "administrator", "sa", "sysadmin"

I criteri di sicurezza possono essere impostati in Windows o essere ricevuti dal dominio. Per visualizzare i criteri password nel computer, utilizzare lo snap-in MMC Criteri di sicurezza locali (secpol.msc).

Attività correlate

CREATE LOGIN (Transact-SQL)

ALTER LOGIN (Transact-SQL)

CREATE USER (Transact-SQL)

ALTER USER (Transact-SQL)

Creazione di un account di accesso

Creazione di un utente di database

Contenuto correlato

Password complesse