Wachtwoordbeleid

Van toepassing op:SQL Server

SQL Server kan Windows-wachtwoordbeleidsmechanismen gebruiken. Het wachtwoordbeleid is van toepassing op een aanmelding die gebruikmaakt van SQL Server-verificatie en op een ingesloten databasegebruiker met een wachtwoord.

SQL Server kan dezelfde complexiteit en verloopbeleid toepassen dat in Windows wordt gebruikt op wachtwoorden die in SQL Server worden gebruikt. Deze functionaliteit is afhankelijk van de NetValidatePasswordPolicy API.

Opmerking

Azure SQL Database dwingt wachtwoordcomplexiteit af. De secties voor het verlopen van wachtwoorden en het afdwingen van beleid zijn niet van toepassing op Azure SQL Database. Zie onze veelgestelde vragen over SQL Managed Instance voor informatie over wachtwoordbeleid voor Azure SQL Managed Instance.

Wachtwoordcomplexiteit

Beleidsregels voor wachtwoordcomplexiteit zijn ontworpen om beveiligingsaanvallen te ontmoedigen door het aantal mogelijke wachtwoorden te verhogen. Wanneer beleid voor wachtwoordcomplexiteit wordt afgedwongen, moeten nieuwe wachtwoorden voldoen aan de volgende richtlijnen:

• Het wachtwoord bevat niet de accountnaam van de gebruiker.

• Het wachtwoord is ten minste acht tekens lang.

• Het wachtwoord bevat tekens uit drie van de volgende vier categorieën:

  • Latijnse hoofdletters (A tot en met Z)
  • Latijnse kleine letters (a tot en met z)
  • Basis 10 cijfers (0 tot en met 9)
  • Niet-phanumerische tekens, zoals: uitroepteken (!), dollarteken ($), cijferteken (#) of percentage (%).

Wachtwoorden mogen maximaal 128 tekens lang zijn. Gebruik wachtwoorden die zo lang en complex mogelijk zijn.

Wachtwoordverlooptijd

Beleidsregels voor het verlopen van wachtwoorden worden gebruikt om de levensduur van een wachtwoord te beheren. Wanneer SQL Server het verloopbeleid voor wachtwoorden afdwingt, worden gebruikers eraan herinnerd oude wachtwoorden te wijzigen en worden accounts die verlopen wachtwoorden hebben uitgeschakeld.

Beleidsafdwinging

Het afdwingen van wachtwoordbeleid kan afzonderlijk worden geconfigureerd voor elke SQL Server-aanmelding. Gebruik ALTER LOGIN om de opties voor wachtwoordbeleid van een SQL Server-aanmelding te configureren. De volgende regels zijn van toepassing op de configuratie van het afdwingen van wachtwoordbeleid:

• Wanneer CHECK_POLICY dit wordt gewijzigd in ON, treden de volgende gedragingen op:

  • CHECK_EXPIRATION is ook ingesteld op ON tenzij deze expliciet is ingesteld op OFF.
  • De wachtwoordgeschiedenis wordt geïnitialiseerd met de waarde van de huidige wachtwoord-hash.
  • Duur van accountvergrendeling, drempelwaarde voor accountvergrendeling en vergrendelingsmeteritem van het account opnieuw instellen nadat deze ook zijn ingeschakeld.

• Wanneer CHECK_POLICY dit wordt gewijzigd in OFF, treden de volgende gedragingen op:

  • CHECK_EXPIRATION is ook ingesteld op OFF.
  • De wachtwoordgeschiedenis is gewist.
  • De waarde van lockout_time is opnieuw ingesteld.

Sommige combinaties van beleidsopties worden niet ondersteund.

• Als MUST_CHANGE is opgegeven, moeten CHECK_EXPIRATION en CHECK_POLICY worden ingesteld op ON. Anders mislukt de instructie.

• Als CHECK_POLICY is ingesteld op OFF, kan CHECK_EXPIRATION niet worden ingesteld op ON. Een ALTER LOGIN instructie met deze combinatie van opties mislukt.

• Instelling CHECK_POLICY = ON voorkomt het maken van wachtwoorden die:

  • Null of leeg
  • Hetzelfde als de naam van de computer of aanmelding
  • Een van de volgende opties: password, admin, administrator, , sasysadmin

Het beveiligingsbeleid kan worden ingesteld in Windows of kan worden ontvangen van het domein. Als u het wachtwoordbeleid op de computer wilt weergeven, gebruikt u de MMC-module Lokaal beveiligingsbeleid (secpol.msc).

Opmerking

Als voor SQL Server-aanmeldingen CHECK_POLICY is ingeschakeld en u voert ALTER LOGIN uit en neemt OLD_PASSWORD niet op in de opdracht om het wachtwoord te wijzigen, dan wordt Wachtwoordgeschiedenis afdwingen genegeerd. Dit is een standaardgedrag om het opnieuw instellen van wachtwoorden toe te staan, ondanks eventuele eerder gebruikte wachtwoorden. Andere controles die aan CHECK_POLICY zijn gekoppeld, waaronder lengte en complexiteit, worden gecontroleerd ongeacht of OLD_PASSWORD wordt gebruikt.

Informatie over het wachtwoordbeleid voor SQL-gebruikers controleren

U kunt het wachtwoordbeleid voor SQL-gebruikers en vervaldatums in SQL Server controleren met behulp van de volgende query. Hoewel de volgende query ook in Azure SQL Database werkt, wordt alleen wachtwoordcomplexiteit afgedwongen in Azure SQL Database.

SELECT name,
       is_policy_checked,
       is_expiration_checked,
       LOGINPROPERTY(name, 'IsMustChange') AS IsMustChange,
       LOGINPROPERTY(name, 'IsLocked') AS IsLocked,
       LOGINPROPERTY(name, 'LockoutTime') AS LockoutTime,
       LOGINPROPERTY(name, 'PasswordLastSetTime') AS PasswordLastSetTime,
       LOGINPROPERTY(name, 'IsExpired') AS IsExpired,
       LOGINPROPERTY(name, 'BadPasswordCount') AS BadPasswordCount,
       LOGINPROPERTY(name, 'BadPasswordTime') AS BadPasswordTime,
       LOGINPROPERTY(name, 'HistoryLength') AS HistoryLength,
       modify_date
FROM sys.sql_logins;

Gerelateerde taken

• INLOGGEN AANMAKEN
• ALTER LOGIN
• GEBRUIKER AANMAKEN
• ALTER USER
• Een aanmelding maken
• Een databasegebruiker maken

Verwante inhoud

• Sterke wachtwoorden