Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
SQL Server
Użyj tej strony, aby wyświetlić lub zmodyfikować opcje zabezpieczeń serwera.
Uwierzytelnianie serwera
Tryb uwierzytelniania systemu Windows
Używa uwierzytelniania systemu Windows do sprawdzania poprawności prób nawiązania połączeń.
sa Jeśli hasło jest puste po zmianie trybu zabezpieczeń, użytkownik zostanie poproszony o wprowadzenie sa hasła.
Ważne
Uwierzytelnianie systemu Windows jest znacznie bezpieczniejsze niż uwierzytelnianie programu SQL Server. Jeśli to możliwe, należy użyć uwierzytelniania systemu Windows.
Tryb uwierzytelniania programu SQL Server i systemu Windows
Używa uwierzytelniania w trybie mieszanym do weryfikowania prób nawiązania połączeń w celu zapewnienia zgodności z poprzednimi wersjami programu SQL Server.
sa Jeśli hasło jest puste po zmianie trybu zabezpieczeń, użytkownik zostanie poproszony o wprowadzenie sa hasła.
Uwaga / Notatka
Zmiana konfiguracji zabezpieczeń wymaga ponownego uruchomienia usługi. W przypadku zmiany uwierzytelniania serwera na program SQL Server i tryb uwierzytelniania systemu Windows konto sa nie jest automatycznie włączone. Aby użyć konta programu SA, wykonaj polecenie ALTER LOGIN z opcją ENABLE .
Objaśnienie trybów uwierzytelniania
Wybranie odpowiedniego trybu uwierzytelniania wpływa na bezpieczeństwo, możliwości zarządzania i zgodność aplikacji wystąpienia programu SQL Server.
Uwierzytelnianie systemu Windows
Uwierzytelnianie systemu Windows używa poświadczeń zabezpieczeń systemu operacyjnego Windows do sprawdzania poprawności połączeń użytkowników. Program SQL Server nie przechowuje haseł ani nie zarządza nimi bezpośrednio — korzysta z kontrolera domeny systemu Windows (usługi Active Directory lub kont lokalnych) na potrzeby weryfikacji poświadczeń.
Kluczowe cechy:
- Używa protokołów Kerberos lub NTLM do weryfikacji poświadczeń.
- Obsługuje scentralizowane zasady haseł, w tym wymagania dotyczące złożoności, wygaśnięcie i blokadę konta za pośrednictwem zasad grupy usługi Active Directory.
- Włącza logowanie jednokrotne ( SSO) — użytkownicy nie muszą wprowadzać oddzielnych poświadczeń programu SQL Server.
- Zapewnia wbudowaną inspekcję za pośrednictwem dziennika zdarzeń zabezpieczeń systemu Windows.
- Obsługuje dostęp oparty na grupach systemu Windows, co upraszcza zarządzanie uprawnieniami dla dużej liczby użytkowników.
Uwierzytelnianie programu SQL Server
Uwierzytelnianie programu SQL Server używa kont logowania przechowywanych w master bazie danych. Każde logowanie ma własną nazwę użytkownika i hasło, które program SQL Server zarządza niezależnie od poświadczeń systemu Windows.
Kluczowe cechy:
- Poświadczenia są przechowywane bezpośrednio w programie SQL Server, niezależnie od domeny systemu Windows.
- Wymaga od użytkowników podania nazwy użytkownika i hasła w każdym ciągu połączenia.
- Domyślnie nie obsługuje delegowania protokołu Kerberos ani scentralizowanych zasad haseł domeny.
- Przydatne, gdy klienci nie są częścią domeny systemu Windows, takich jak aplikacje dostępne z Internetu lub środowiska międzyplatformowe.
Porównanie trybów uwierzytelniania
| Funkcja | Uwierzytelnianie systemu Windows | Uwierzytelnianie programu SQL Server i systemu Windows (tryb mieszany) |
|---|---|---|
| Protokół | Kerberos lub NTLM | Kerberos, NTLM lub hasło SQL |
| Zarządzanie hasłami | Zarządzane przez usługę Active Directory | Loginy SQL zarządzane przez SQL Server; loginy systemu Windows zarządzane przez Active Directory |
| Logowanie jednokrotne | Tak | Tylko w przypadku logowań systemu Windows |
| Scentralizowane zasady haseł | Tak (zasady grupy Active Directory) | Program SQL Server wymusza własną politykę haseł dla loginów SQL. |
| Obsługuje klientów nienależących do domeny | Nie. | Tak |
| Najlepiej nadaje się do | Środowiska przedsiębiorstwa i intranetu | Aplikacje dostępne z Internetu, środowiska międzyplatformowe lub scenariusze mieszane |
Wybieranie odpowiedniego trybu uwierzytelniania
Podczas wybierania trybu uwierzytelniania należy użyć następujących wskazówek:
- Użyj trybu uwierzytelniania systemu Windows , gdy wszyscy klienci są przyłączone do domeny maszyn z systemem Windows, chcesz scentralizowane zarządzanie poświadczeniami za pośrednictwem usługi Active Directory i nie musisz obsługiwać klientów innych niż Windows.
- Użyj trybu SQL Server i uwierzytelniania systemu Windows , jeśli musisz obsługiwać aplikacje, które nie mogą używać uwierzytelniania systemu Windows, klientów działających w systemach operacyjnych innych niż Windows lub starszych aplikacji, które wymagają logowania programu SQL Server.
Ważne
Nawet korzystając z trybu mieszanego, należy preferować loginy uwierzytelniania Windows dla kont administracyjnych i aplikacji wewnętrznych. Zarezerwuj uwierzytelnianie programu SQL Server w scenariuszach, w których uwierzytelnianie systemu Windows nie jest możliwe.
Aby uzyskać więcej informacji, zobacz Wybieranie trybu uwierzytelniania.
Inspekcja logowania
Żaden
Wyłącza inspekcję logowania.
Tylko nieudane logowania
Przeprowadza inspekcję tylko nieudanych logowań.
Tylko pomyślne logowania
Przeprowadza inspekcję tylko pomyślnych logowań.
Zarówno nieudane, jak i pomyślne logowania
Przeprowadza inspekcję wszystkich prób logowania.
Uwaga / Notatka
Zmiana poziomu inspekcji wymaga ponownego uruchomienia usługi.
Konto serwera proxy
Włączanie konta serwera proxy
Włącza konto do użytku przez xp_cmdshell. Konta serwera proxy umożliwiają personifikację logowań, ról serwera i ról bazy danych podczas wykonywania polecenia systemu operacyjnego.
Ostrzeżenie
Identyfikator logowania używany przez konto serwera proxy powinien mieć najmniejsze uprawnienia wymagane do realizacji zamierzonych zadań. Nadmierne uprawnienia dla konta proxy mogą być używane przez złośliwego użytkownika w celu naruszenia bezpieczeństwa systemu.
Konto serwera proxy
Określ używane konto serwera proxy.
Hasło
Określ hasło dla konta serwera proxy.
Opcje
Włącz śledzenie audytu C2
Przeprowadza inspekcję wszystkich prób uzyskania dostępu do instrukcji i obiektów i rejestruje je w pliku w \MSSQL\Data katalogu dla domyślnych wystąpień programu SQL Server lub katalogu \MSSQL$instancename\Data dla nazwanych wystąpień programu SQL Server. Aby uzyskać więcej informacji, zobacz c2 audit mode Server Configuration Option (Opcja konfiguracji serwera w trybie inspekcji c2).
Łączenie łańcuchów własności między bazami danych
Wybierz, aby zezwolić bazie danych na bycie źródłem lub celem w zależności własności między bazami danych. Aby uzyskać więcej informacji, zobacz Cross db ownership chaining Server Configuration Option (Opcja konfiguracji serwera między bazami danych).
Treści powiązane
- Wybierz tryb uwierzytelniania
- opcje konfiguracji serwera
- ALTER LOGIN (Transact-SQL)