Политика паролей
В SQL Server поддерживается использование механизмов политики паролей Windows. Политика паролей применяется к имени входа, которое использует проверку подлинности SQL Server, и к пользователю автономной базы данных с паролем.
В SQL Server могут применяться политики сложности и истечения срока действия, которые применяются в Windows к паролям, используемым в SQL Server. Эти возможности построены на API-интерфейсе NetValidatePasswordPolicy.
Сложность пароля
Политика сложности паролей позволяет отражать атаки, использующие простой перебор, путем увеличения числа возможных паролей. Если применяется политика сложности паролей, новые пароли должны удовлетворять следующим требованиям.
Пароль не содержит имя учетной записи пользователя.
Длина пароля составляет не менее восьми символов.
Пароль содержит символы, соответствующие трем из следующих четырех категорий:
прописные латинские буквы (А-Z)
строчные латинские буквы (a-z)
цифры (0-9)
следующие символы: восклицательный знак (!), знак доллара ($), решетка (#) или знак процента (%).
Пароли могут иметь длину до 128 символов. Рекомендуется использовать максимально длинные и сложные пароли.
Истечение срока действия пароля
Политика истечения срока действия паролей используется для управления продолжительностью действия пароля. Когда SQL Server применяет политику истечения срока действия паролей, пользователи получают уведомления о необходимости изменения старых паролей, а учетные записи с истекшим сроком действия пароля отключаются.
Применение политики
Применение политики паролей можно настроить отдельно для каждого имени входа SQL Server. Чтобы настроить параметры политики паролей для имени входа SQL Server, выполните инструкцию ALTER LOGIN (Transact-SQL). Для настройки принудительного применения политики паролей действуют следующие правила.
При переключении параметра CHECK_POLICY на значение ON происходит следующее:
параметр CHECK_EXPIRATION также изменяется на ON, если он не будет прямо изменен на OFF;
При инициализации журнала паролей используется значение текущего хэша паролей.
Включены также параметры продолжительность существования блокировки учетной записи, пороговое значение блокировки учетной записи и сброс счетчика блокировки учетной записи после.
При переключении параметра CHECK_POLICY в значение OFF происходит следующее:
параметр CHECK_EXPIRATION также получает значение OFF;
журнал паролей очищается;
сбрасывается значение параметра lockout_time.
Некоторые сочетания параметров политик не поддерживаются.
При указании параметра MUST_CHANGE значения CHECK_EXPIRATION и CHECK_POLICY должны быть равны ON. В противном случае выполнение инструкции приведет к ошибке.
Если значение параметра CHECK_POLICY установлено равным OFF, то параметр CHECK_EXPIRATION не может иметь значения ON. Выполнение инструкции ALTER LOGIN с таким сочетанием параметров завершится ошибкой.
При установке параметра CHECK_POLICY = ON блокируется создание следующих паролей:
пустых или неопределенных;
совпадающих с именем компьютера или именем входа;
представляющих собой любую из следующих строк: «password», «admin», «administrator», «sa» или «sysadmin».
Политика безопасности может быть настроена в Windows или получена из домена. Для просмотра политики паролей на компьютере используется оснастка консоли управления «Локальная политика безопасности» (secpol.msc).
Связанные задачи
Создание пользователя базы данных