Ескертпе
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
Область применения:
SQL Server
Эта страница используется для просмотра или изменения параметров безопасности сервера.
Проверка подлинности сервера
Режим проверки подлинности Windows
Используется проверка подлинности Windows для проверки допустимости попыток соединения.
sa Если пароль пуст при изменении режима безопасности, пользователю будет предложено ввести sa пароль.
Внимание
Проверка подлинности Windows намного надежней, чем проверка подлинности SQL Server. При возможности используйте проверку подлинности Windows.
Режим проверки подлинности SQL Server и Windows
Использует проверку подлинности в смешанном режиме для проверки попыток подключения для обратной совместимости с более ранними версиями SQL Server.
sa Если пароль пуст при изменении режима безопасности, пользователю будет предложено ввести sa пароль.
Примечание.
При изменении конфигурации безопасности необходимо перезапустить службу. При изменении режима проверки подлинности сервера на режим проверки SQL Server и Windows учетная запись SA не активирована автоматически. Чтобы использовать учетную запись SA, выполните ALTER LOGIN с параметром ENABLE .
Описаны режимы проверки подлинности
Выбор правильного режима проверки подлинности влияет на безопасность, управляемость и совместимость приложений экземпляра SQL Server.
Проверка подлинности Windows
Проверка подлинности Windows использует учетные данные безопасности операционной системы Windows для проверки подключений пользователей. SQL Server не хранит и не управляет паролями напрямую— он зависит от контроллера домена Windows (Active Directory или локальных учетных записей) для проверки учетных данных.
Ключевые характеристики:
- Использует протоколы Kerberos или NTLM для проверки учетных данных.
- Поддерживает централизованные политики паролей, включая требования к сложности, истечение срока действия и блокировку учетной записи с помощью групповой политики Active Directory.
- Включает единый вход (SSO) — пользователям не нужно вводить отдельные учетные данные SQL Server.
- Предоставляет встроенный аудит с помощью журнала событий безопасности Windows.
- Поддерживает доступ на основе групп Windows, который упрощает управление разрешениями для большого количества пользователей.
Проверка подлинности SQL Server
Проверка подлинности SQL Server использует учетные записи входа, хранящиеся в master базе данных. Каждое имя входа имеет собственное имя пользователя и пароль, которым SQL Server управляет независимо от учетных данных Windows.
Ключевые характеристики:
- Учетные данные хранятся непосредственно в SQL Server, отдельно от домена Windows.
- Требует от пользователей предоставить имя пользователя и пароль в каждой строке подключения.
- Не поддерживает делегирование Kerberos или централизованные политики паролей домена по умолчанию.
- Полезно, если клиенты не являются частью домена Windows, например приложениям, подключенным к Интернету, или кроссплатформенным средам.
Сравнение режимов проверки подлинности
| Функция | Проверка подлинности Windows | SQL Server и Проверка подлинности Windows (смешанный режим) |
|---|---|---|
| Протокол | Kerberos или NTLM | Пароль Kerberos, NTLM или SQL |
| Управление паролями | Управляется с помощью Active Directory | Имена входа SQL, управляемые SQL Server; Имена входа Windows, управляемые Active Directory |
| Единый вход | Да | Только для входа в Windows |
| Централизованная политика паролей | Да (групповая политика Active Directory) | SQL Server применяет собственную политику паролей для учётных записей SQL |
| Поддерживает клиенты, отличные от домена | нет | Да |
| Лучше всего подходит для | Корпоративные и интрасети | Интернет-приложения, кроссплатформенные среды или смешанные сценарии |
Выбор правильного режима проверки подлинности
При выборе режима проверки подлинности используйте следующие рекомендации.
- Используйте режим проверки подлинности Windows , если все клиенты - это компьютеры Windows, присоединенные к домену, требуется централизованное управление учетными данными через Active Directory, и вам не нужно поддерживать клиентов, использующих системы, отличные от Windows.
- Используйте режим проверки подлинности SQL Server и Windows , если необходимо поддерживать приложения, которые не могут использовать проверку подлинности Windows, клиенты, работающие в операционных системах, отличных от Windows, или устаревшие приложения, требующие входа SQL Server.
Внимание
Даже если вы используете смешанный режим, предпочитайте учетные данные подлинности Windows для административных учетных записей и внутренних приложений. Резервная проверка подлинности SQL Server для сценариев, когда проверка подлинности Windows невозможна.
Дополнительные сведения см. в статье Выбор режима проверки подлинности.
Аудит входа
None
Отключение аудита входа.
Только неудачные попытки входа
Производится аудит только неудачных попыток входа.
Успешные входы
Производится аудит только удачных попыток входа.
Неудачные и успешные авторизации
Производится аудит всех попыток входа.
Примечание.
При изменении уровня аудита необходимо перезапустить службу.
Учетная запись прокси-сервера
Включение учетной записи прокси-сервера
Подготавливает учетную запись для использования с xp_cmdshell. Учетные записи-посредники позволяют осуществлять олицетворение имен входа, ролей сервера и ролей базы данных при выполнении команды операционной системы.
Внимание
Имя входа, используемое учетной записью-посредником сервера, должно иметь минимально возможные права доступа, необходимые для выполнения намеченной работы. Излишние права доступа учетной записи-посредника могут быть использованы злоумышленниками для нарушения безопасности системы.
Учетная запись прокси-сервера
Задайте используемую учетную запись-посредник.
Пароль
Задайте пароль для учетной записи-посредника.
Параметры
Включение трассировки аудита C2
Выполняет аудит всех попыток доступа к инструкциям и объектам и записывает их в файл в каталоге \MSSQL\Data для экземпляров SQL Server по умолчанию, или в каталог \MSSQL$instancename\Data для именованных экземпляров SQL Server. Дополнительные сведения см. в статье Параметр конфигурации сервера "c2 audit mode".
Межбазовая цепочка владения правами
Выберите этот пункт, чтобы база данных могла быть источником или приемником межбазовой цепочки владения. Дополнительные сведения см. в статье Параметр конфигурации сервера "cross db ownership chaining".