Выбор режима проверки подлинности
Применимо к:
SQL Server
Во время установки необходимо выбрать режим проверки подлинности для ядро СУБД. Существует два возможных режима: проверка подлинности Windows и смешанный режим. Режим проверки подлинности Windows включает проверку подлинности Windows и отключает проверку подлинности SQL Server. Смешанный режим включает проверку подлинности Windows и проверку подлинности SQL Server. Проверка подлинности Windows всегда доступна и не может быть отключена.
Настройка режима проверки подлинности
Если во время установки выбран режим смешанной проверки подлинности (SQL Server и режим проверки подлинности Windows), необходимо указать и подтвердить надежный пароль для встроенной учетной записи saсистемного администратора SQL Server. Учетная sa запись подключается с помощью проверки подлинности SQL Server.
При выборе проверки подлинности Windows во время установки программа установки создает sa учетную запись для проверки подлинности SQL Server, но она отключена. Если вы позже измените проверку подлинности в смешанном режиме и хотите использовать sa учетную запись, необходимо включить учетную запись. Любую учетную запись Windows или SQL Server можно настроить в качестве системного администратора. sa Так как учетная запись хорошо известна и часто нацелена на вредоносных пользователей, не включите sa учетную запись, если приложение не требует его. Никогда не устанавливайте пустой или слабый пароль для учетной sa записи. Чтобы изменить режим проверки подлинности Windows на смешанный режим проверки подлинности и использовать проверку подлинности SQL Server, см. раздел "Изменить режим проверки подлинности сервера".
Подключение с помощью проверки подлинности Windows
Когда пользователь подключается через учетную запись пользователя Windows, SQL Server проверяет имя и пароль учетной записи с помощью токена субъекта Windows в операционной системе. Это означает, что удостоверение пользователя было подтверждено Windows. SQL Server не запрашивает пароль и не выполняет проверку удостоверений. Проверка подлинности Windows — это режим проверки подлинности по умолчанию и гораздо безопаснее, чем проверка подлинности SQL Server. Режим проверки подлинности Windows использует протокол безопасности Kerberos, реализует политику паролей в отношении проверки сложности надежных паролей, поддерживает блокировку учетных записей и истечение срока пароля. Соединение, установленное с помощью проверки подлинности Windows, иногда называется доверительным соединением, поскольку SQL Server доверяет учетным данным, предоставляемым Windows.
С помощью проверки подлинности Windows группы Windows можно создавать на уровне домена, а имя входа можно создать на SQL Server для всей группы. Управление доступом на уровне домена может упростить администрирование учетных записей.
Важно!
По возможности используйте аутентификацию Windows.
Подключение с помощью проверки подлинности SQL Server
При использовании проверки подлинности SQL Server имена входа создаются в SQL Server, которые не основаны на учетных записях пользователей Windows. Имя пользователя и пароль создаются и хранятся в SQL Server. Пользователи, подключающиеся с помощью проверки подлинности SQL Server, должны предоставлять свои учетные данные (имя входа и пароль) при каждом подключении. При использовании проверки подлинности SQL Server необходимо задать надежные пароли для всех учетных записей SQL Server. Рекомендации по выбору надежного пароля см. в разделе Strong Passwords.
Для входа SQL Server доступны три необязательные политики паролей.
Пользователь должен сменить пароль при следующем входе
Требует, чтобы пользователь сменил пароль при следующем подключении. Возможность изменить пароль предоставляется SQL Server Management Studio. Если используется этот режим, сторонние разработчики программного обеспечения должны предоставлять данную функцию.
Задать срок окончания действия пароля
Политика максимального возраста пароля компьютера применяется для входа в SQL Server.
Требовать использование политики паролей
Политики паролей Windows компьютера применяются для входа SQL Server. Это включает длину и сложность паролей. Эта функция зависит от
NetValidatePasswordPolicyAPI, который доступен только в Windows Server 2003 и более поздних версиях.
Определение политик паролей на локальном компьютере
В меню Пуск выберите Выполнить.
В диалоговом окне "Запуск" введите secpol.msc и нажмите кнопку "ОК".
В приложении Параметры локальной безопасности разверните узел "Безопасность Параметры", разверните раздел "Политики учетных записей" и выберите "Политика паролей".
Политики паролей будут описаны в панели результатов.
Недостатки проверки подлинности SQL Server
Если пользователь является пользователем домена Windows, у которого есть имя входа и пароль для Windows, он по-прежнему должен предоставить другой (SQL Server) имя входа и пароль для подключения. Многим пользователям сложно помнить несколько имен входа и паролей. Необходимость предоставлять учетные данные SQL Server каждый раз, когда пользователь подключается к базе данных, может раздражать.
Проверка подлинности SQL Server не может использовать протокол безопасности Kerberos.
Windows предлагает дополнительные политики паролей, недоступные для входа SQL Server.
Зашифрованный пароль для входа проверки подлинности SQL Server должен передаваться по сети во время подключения. Некоторые приложения, которые устанавливают соединение автоматически, сохраняют пароль на клиенте. Эти дополнительные точки, на которые может быть направлена атака.
Преимущества проверки подлинности SQL Server
Позволяет SQL Server поддерживать старые приложения и приложения, предоставляемые третьими сторонами, которым требуется проверка подлинности SQL Server.
Позволяет SQL Server поддерживать среды с смешанными операционными системами, где все пользователи не проходят проверку подлинности в домене Windows.
Позволяет пользователям устанавливать соединения из неизвестных или недоверенных доменов. Например, приложение, в котором клиенты подключаются с помощью назначенных учетных данных SQL Server для получения состояния их заказов.
Позволяет SQL Server поддерживать веб-приложения, в которых пользователи создают собственные удостоверения.
Позволяет разработчикам программного обеспечения распространять свои приложения с помощью сложной иерархии разрешений на основе известных, заранее установленных учетных данных SQL Server.
Примечание.
Использование проверки подлинности SQL Server не ограничивает разрешения локальных администраторов на компьютере, на котором установлен SQL Server.
См. также
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по