Kennwortrichtlinie
SQL Server kann Windows-Kennwortrichtlinienmechanismen verwenden. Die Kennwortrichtlinie gilt für eine Anmeldung, die die SQL Server-Authentifizierung verwendet, und für einen eigenständige Datenbankbenutzer mit Kennwort.
Von SQL Server können dieselbe Komplexität und dieselben Ablaufrichtlinien angewendet werden, die in Windows für in SQL Server verwendete Kennwörter verwendet werden. Diese Funktion basiert auf der NetValidatePasswordPolicy-API.
Kennwortkomplexität
Richtlinien zur Kennwortkomplexität werden als Maßnahme gegen Brute Force-Angriffe entworfen. Dabei wird die Anzahl der möglichen Kennwörter erhöht. Wenn eine Richtlinie zur Kennwortkomplexität erzwungen wird, müssen neue Kennwörter die folgenden Richtlinien erfüllen:
Das Kennwort enthält nicht den Kontonamen des Benutzers.
Das Kennwort ist wenigstens acht Zeichen lang.
Das Kennwort enthält Zeichen aus drei der folgenden vier Kategorien:
Lateinische Großbuchstaben (A - Z)
Lateinische Kleinbuchstaben (a - z)
10 Grundziffern (0 - 9)
Nicht alphanumerische Zeichen, wie z. B.: Ausrufezeichen (!), Dollarzeichen ($), Nummernzeichen (#) oder Prozentzeichen (%)
Kennwörter können bis zu 128 Zeichen lang sein. Sie sollten möglichst lange und komplexe Kennwörter verwenden.
Ablauf des Kennworts
Richtlinien zum Ablauf von Kennwörtern werden verwendet, um die Lebensdauer von Kennwörtern zu verwalten. Wenn von SQL Server die aktivierte Richtlinie zum Ablauf von Kennwörtern erzwungen wird, werden Benutzer daran erinnert, alte Kennwörter zu ändern. Konten mit abgelaufenen Kennwörtern werden deaktiviert.
Richtliniendurchsetzung
Das Erzwingen der Kennwortrichtlinie kann für jede SQL Server-Anmeldung einzeln konfiguriert werden. Verwenden Sie ALTER LOGIN (Transact-SQL), um die Kennwortrichtlinienoptionen für eine SQL Server-Anmeldung zu konfigurieren. Die folgenden Regeln gelten für die Konfiguration zur Erzwingung der Kennwortrichtlinie:
Wenn CHECK_POLICY in ON geändert wird, kommt es zu folgenden Verhaltensweisen:
Für CHECK_EXPIRATION wird ebenfalls ON festgelegt, es sei denn, der Wert OFF wurde ausdrücklich festgelegt.
Der Kennwortverlauf wird mit dem Wert des aktuellen Kennworthashs initialisiert.
Kontosperrdauer, Kontensperrungsschwelle und Zurücksetzungsdauer des Kontosperrungszählers sind ebenfalls aktiviert.
Wenn CHECK_POLICY in OFF geändert wird, kommt es zu folgenden Verhaltensweisen:
Für CHECK_EXPIRATION wird ebenfalls OFF festgelegt.
Der Kennwortverlauf wird gelöscht.
Der Wert von lockout_time wird zurückgesetzt.
Einige Kombinationen von Richtlinienoptionen werden nicht unterstützt.
Bei einer Angabe von MUST_CHANGE muss für CHECK_EXPIRATION und CHECK_POLICY der Wert ON festgelegt sein. Andernfalls erzeugt die Anweisung einen Fehler.
Falls CHECK_POLICY auf OFF festgelegt ist, kann CHECK_EXPIRATION nicht auf ON festgelegt werden. Eine ALTER LOGIN-Anweisung mit dieser Kombination von Optionen erzeugt einen Fehler.
Durch Festlegen von CHECK_POLICY = ON wird die Erstellung von Kennwörtern mit folgenden Eigenschaften verhindert:
NULL-Werte oder leere Kennwörter
Kennwörter, die dem Computer- oder Anmeldenamen entsprechen
Eines der folgenden Kennwörter: "kennwort", "admin", "administrator", "sa", "sysadmin"
Die Sicherheitsrichtlinie kann in Windows festgelegt oder von der Domäne abgerufen werden. Um die Kennwortrichtlinie auf dem Computer anzuzeigen, können Sie das MMC-Snap-In verwenden (secpol.msc).
Verwandte Tasks
Erstellen eines Datenbankbenutzers