Udostępnij za pośrednictwem

  • Artykuł

Password Policy

Gdy jest uruchomiony w systemie Windows Server 2003 lub nowszym SQL Server można używać mechanizmu zasad zasady haseł systemu Windows.

SQL Server można stosować tej samej złożoności i zasad wygasania używana w systemie Windows Server 2003 do haseł użyte wewnątrz SQL Server. Funkcja ta zależy od tego, NetValidatePasswordPolicy Interfejs API, które jest dostępne tylko w systemach Windows Server 2003 i jego nowszych wersjach.

Złożoności haseł

Zasady złożoności haseł są przeznaczone do powstrzymania brute życie ataków przez zwiększenie liczby możliwych haseł.Jeśli wymuszane są zasady złożoności haseł, nowe hasło musi spełniać następujące wskazówki:

  • Hasło nie zawiera całość lub część nazwy konta użytkownika.Część nazwy konta jest zdefiniowana jako trzech lub większej liczby kolejnych znaków alfanumerycznych rozdzielone na obu końcach odstępu, takich jak miejsca, karcie i zwrot lub dowolne z następujących znaków: (,), kropka (.), przecinek (,) łącznik (-), znaku podkreślenia (_) lub numer podpisania (#).

  • Hasło jest co najmniej osiem znaków.

  • Hasło zawiera znaki z trzech z następujących czterech kategorii:

    • Łaciński wielkimi literami (od A do Z)

    • Łaciński małymi literami (od do z)

    • Oparcie 10 cyfr (od 0 do 9)

    • Na przykład znaki niealfanumeryczne: wykrzyknik (!), znak dolara ($), liczba, znak (#) lub procentu (%).

Hasło może mieć maksymalnie 128 znaków.Należy używać hasła, które są za długie i złożonych, jak to możliwe.

Data wygaśnięcia hasła

Zasady wygasania hasła są używane do zarządzania żywotność hasła.Kiedy SQL Server Egzekwuje zasady wygasania hasła, użytkownicy są wyświetlone przypomnienie, aby zmienić stare hasła i konta, które wygasły hasła są wyłączone.

Zasada wymuszania

Stosowanie zasady haseł można skonfigurować osobno dla każdego identyfikatora konto logowania do programu SQL Server.Użycie ALTER LOGIN (języka Transact-SQL) Aby skonfigurować opcje zasady haseł konto logowania do programu SQL Server. konfiguracja wymuszania zasady haseł obowiązują następujące reguły:

  • Po zmianie CHECK_POLICY on pojawić się następujące zachowania:

    • CHECK_EXPIRATION jest również zestaw on o ile nie jest jawnie zestaw na OFF.

    • Historia haseł jest inicjowana z wartością bieżącą wartość mieszania hasła.

  • Gdy CHECK_POLICY została zmieniona na OFF, zachodzą następujące zachowania:

    • CHECK_EXPIRATION jest również zestaw na OFF.

    • Historia haseł jest wyczyszczone.

    • Wartość lockout_time powoduje zresetowanie.

Niektóre kombinacje opcje zasad nie są obsługiwane.

  • Jeżeli określono MUST_CHANGE, CHECK_EXPIRATION i CHECK_POLICY muszą być ustawione na ON.W przeciwnym wypadku instrukcja nie powiedzie się.

  • Jeśli CHECK_POLICY ma wartość OFF, CHECK_EXPIRATION nie zestaw na ON.Instrukcja ALTER LOGIN, zawierający tę kombinację opcji nie powiedzie się.

    Important noteImportant Note:

    CHECK_EXPIRATION i CHECK_POLICY tylko są wymuszane na Windows Server 2003 i jego nowszych wersjach.
    Important noteImportant Note:

    Znany problem w systemie Windows Server 2003 może uniemożliwić ich przywrócić po Licznik Nieprawidłowe hasło LockoutThreshold została osiągnięta. Może to spowodować natychmiastowe blokady na prób kolejnych logowania nie powiodło się.Można ręcznie zresetować licznik nieprawidłowe hasło krótko ustawiając CHECK_POLICY = OFF, po której następuje CHECK_POLICY = ON.

Gdy program SQL Server działa w systemie Windows 2000, ustawianie CHECK_POLICY = ON uniemożliwi tworzenia haseł, które są:

  • Wartość zerową lub null

  • Taka sama, jak nazwa komputera lub logowania

  • Jedną z następujących czynności: "hasło", "admin", "administrator", "sa", "sysadmin. „

Zasada zabezpieczeń może być ustawiony w systemie Windows lub mogą być odbierane z domena.Aby wyświetlić zasady haseł na komputerze, należy użyć przystawki programu MMC Zasady zabezpieczeń lokalnych (secpol.msc).