• Artigo

Diretiva de senha

Quando está sendo executado no Windows Server 2003 ou versões posteriores, o SQL Server pode usar mecanismos de diretiva de senha do Windows.

O SQL Server pode aplicar as mesmas diretivas de complexidade e validade usadas no Windows Server 2003 para senhas usadas no SQL Server. Essa funcionalidade depende da API NetValidatePasswordPolicy que só está disponível no Windows Server 2003 e versões posteriores.

Complexidade de senha

As diretivas de complexidade de senha são projetadas para deter ataques de força bruta aumentando o número de possíveis senhas. Quando a diretiva de complexidade de senha é imposta, as novas senhas devem atender às seguintes diretrizes:

  • A senha não contém todo nem parte do nome de conta do usuário. A parte de um nome de conta é definida como três ou mais caracteres alfanuméricos consecutivos delimitados em ambas as extremidades por espaço em branco, como um espaço, tab e retorno ou qualquer um dos seguintes caracteres: vírgula (,), ponto final (.), hífen (-), sublinhado(_) ou cerquilha (#).

  • A senha tem um comprimento de pelo menos oito caracteres.

  • A senha contém caracteres de três das quatro categorias seguintes:

    • Letras maiúsculas latinas (A a Z)

    • Letras minúsculas latinas (a a z)

    • 10 dígitos base (0 a 9)

    • Caracteres não-alfanuméricos, como: ponto de exclamação (!), símbolo de dólar ($), cerquilha (#) ou porcentagem (%). As senhas podem ter até 128 caracteres.

As senhas podem ter até 128 caracteres. Você deve usar senhas que sejam longas e complexas.

Vencimento da senha

As diretivas de vencimento da senha são usadas para gerenciar o tempo de vida de uma senha. Quando o SQL Server impõe diretiva de vencimento de senha, os usuários são lembrados a alterar as senhas antigas e as contas com senhas vencidas são desabilitadas.

Imposição de diretiva

A imposição da diretiva de senha pode ser configurada separadamente para cada logon do SQL Server. Use ALTER LOGIN (Transact-SQL) para configurar as opções de diretiva de senha de um logon do SQL Server. As regras seguintes se aplicam à configuração da imposição de diretiva de senha:

  • Quando CHECK_POLICY é alterado para ON, o seguinte comportamento ocorre:

    • CHECK_EXPIRATION também é definido como ON, a menos que seja definido explicitamente como OFF.

    • O histórico da senha é iniciado com o valor do hash de senha atual.

  • Quando CHECK_POLICY é alterado para OFF, o seguinte comportamento ocorre:

    • CHECK_EXPIRATION também é definido como OFF.

    • O histórico da senha é apagado.

    • O valor de lockout_time é redefinido.

Algumas combinações de opções de diretiva não têm suporte.

  • Se MUST_CHANGE for especificado, CHECK_EXPIRATION e CHECK_POLICY deverão ser definidos como ON. Caso contrário, a instrução falhará.

  • Se CHECK_POLICY for definido como OFF, CHECK_EXPIRATION não poderá ser definido como ON. Uma instrução ALTER LOGON com essa combinação de opções falhará.

    Observação importanteImportante

    CHECK_EXPIRATION e CHECK_POLICY só são impostos no Windows Server 2003 e versões posteriores.
    Observação importanteImportante

    Um problema conhecido no Windows Server 2003 pode impedir que a contagem de senha inválida seja redefinida quando o LockoutThreshold for alcançado. Isso pode causar um bloqueio imediato em tentativas de logon subseqüentes com falha. Você pode redefinir a contagem de senha inválida manualmente definindo CHECK_POLICY = OFF, seguido por CHECK_POLICY = ON.

Quando o SQL Server está em execução no Windows 2000, a definição de CHECK_POLICY = ON irá impedir a criação de senhas que são:

  • Nulas ou em branco

  • A mesma do computador ou logon

  • Qualquer dos seguintes: "password", "admin", "administrator", "sa", "sysadmin"

A diretiva de senha pode ser configurada no Windows ou transmitida por um domínio. Para exibir a diretiva de segurança do computador, use o snap-in do MMC Diretiva de Segurança Local (secpol.msc).