Escolher um modo de autenticação
Aplica-se: SQL Server
Durante a configuração, você deve selecionar um modo de autenticação para o mecanismo de banco de dados. Há dois modos possíveis: modo de Autenticação do Windows e modo misto. O modo de autenticação do Windows habilita a autenticação do Windows e desabilita a autenticação do SQL Server. O modo misto habilita a autenticação do Windows e a autenticação do SQL Server. A Autenticação do Windows sempre está disponível e não é possível desabilitá-la.
Configurando o modo de autenticação
Se você selecionar a autenticação de modo misto (Modo de autenticação do SQL Server e Windows) durante a instalação, deverá fornecer e confirmar uma senha forte para a conta de administrador de sistema integrada do SQL Server denominada sa
. A conta sa
se conecta usando a autenticação do SQL Server.
Se você escolher Autenticação do Windows durante a configuração, a configuração criará a conta sa
para a autenticação do SQL Server , mas ela ficará desabilitada. Se, depois você alterar para a Autenticação de Modo Misto e quiser usar a conta sa
, será necessário habilitar essa conta. Qualquer conta do Windows ou do SQL Server pode ser configurada como administrador do sistema. Como a conta sa
é bem conhecida e, com frequência, visada por usuários mal-intencionados, não habilite a conta sa
, a menos que o aplicativo solicite. Nunca defina uma senha em branco ou fraca para a conta sa
. Para alterar do modo de autenticação do Windows para a autenticação de modo misto e usar a autenticação do SQL Server, veja Alterar modo de autenticação do servidor.
Conectando pela Autenticação do Windows
Quando um usuário se conecta por uma conta de usuário do Windows, o SQL Server valida o nome e a senha da conta usando o token da entidade do Windows no sistema operacional. Isso significa que a identidade de usuário é confirmada pelo Windows. O SQL Server não solicita a senha e não executa a validação de identidade. A autenticação do Windows é o modo de autenticação padrão e é muito mais segura que a autenticação do SQL Server. A Autenticação do Windows usa NTLM (New Technology LAN Manager) ou o protocolo de segurança Kerberos, fornece imposição de política de senha em relação à validação de complexidade para senhas fortes, além de dar suporte ao bloqueio de contas e à expiração de senhas. Uma conexão estabelecida usando a autenticação do Windows às vezes é chamada de conexão confiável, porque o SQL Server confia nas credenciais fornecidas pelo Windows.
Para obter mais informações sobre a configuração do Kerberos, veja Registrar um nome de entidade de serviço para conexões de Kerberos.
Usando a Autenticação do Windows, os grupos do Windows podem ser criados no nível de domínio, e é possível criar um logon no SQL Server para todo o grupo. Gerenciar o acesso no nível do domínio pode simplificar a administração da conta.
Importante
Quando possível, use a autenticação do Windows.
Conectando por meio da autenticação do SQL Server
Ao usar a Autenticação do SQL Server, são criados logons no SQL Server que não se baseiam em contas de usuário do Windows. O nome de usuário e a senha são criados usando o SQL Server e são armazenados no SQL Server. Os usuários que se conectam com o uso da autenticação do SQL Server devem fornecer suas credenciais (logon e senha) sempre que se conectarem. Ao usar a autenticação do SQL Server, você deve definir senhas fortes para todas as contas do SQL Server. Para obter diretrizes de senha forte, veja Senhas fortes.
Três políticas de senha opcionais estão disponíveis para logons do SQL Server.
O usuário deve alterar a senha no próximo logon
Requer que o usuário altere a senha o na próxima vez que se conectar. A capacidade de alterar a senha é fornecida pelo SQL Server Management Studio. Desenvolvedores de software de outra empresa devem fornecer esse recurso se essa opção for usada.
Impor vencimento de senha
A política de idade de senha máxima do computador é imposta para logons do SQL Server.
Impor política de senha
As políticas de senha do Windows do computador são impostas para logons do SQL Server. Isso inclui comprimento e complexidade da senha. Essa funcionalidade depende da API
NetValidatePasswordPolicy
, disponível somente no Windows Server 2003 e nas versões posteriores.
Para determinar as políticas de senha do computador local
No menu Iniciar, selecione Executar.
Na caixa de diálogo Executar, digite secpol.msc e escolha OK.
No aplicativo Configurações de segurança local, expanda Configurações de segurança, Políticas de conta e escolha Política de senha.
As políticas de senha são descritas no painel de resultados.
Desvantagens da autenticação do SQL Server
Se o usuário for um usuário de domínio do Windows com logon e senha para o Windows, ele ainda precisará fornecer outro logon e senha (SQL Server) para se conectar. Manter o controle de vários nomes e senhas é difícil para muitos usuários. Fornecer credenciais do SQL Server toda vez que o usuário se conecta com o banco de dados pode ser um incômodo.
A autenticação do SQL Server não pode usar o protocolo de segurança Kerberos.
O Windows oferece outras políticas de senha que não estão disponíveis para logons do SQL Server.
A senha criptografada do logon de autenticação do SQL Server deve ser transmitida pela rede no momento da conexão. Alguns aplicativos que se conectam automaticamente armazenarão a senha no cliente. Esses são pontos adicionais de ataque.
Vantagens da autenticação do SQL Server
Permite que o SQL Server dê suporte a aplicativos mais antigos e a aplicativos fornecidos por terceiros que exigem a autenticação do SQL Server.
Permite que o SQL Server dê suporte a ambientes com sistemas operacionais mistos, em que todos os usuários não são autenticados por um domínio do Windows.
Permite que os usuários se conectem de domínios desconhecidos ou não confiáveis. Por exemplo, um aplicativo em que os clientes estabelecidos se conectam com logons do SQL Server atribuídos para receber o status das suas ordens.
Permite que o SQL Server dê suporte a aplicativos baseados na Web em que os usuários criam suas próprias identidades.
Permite que os desenvolvedores de software distribuam seus aplicativos usando uma hierarquia de permissões complexa com base em logons do SQL Server predefinidos e conhecidos.
Observação
Usar a autenticação do SQL Server não limita as permissões dos administradores locais no computador em que o SQL Server está instalado.