Kennwortrichtlinie

Gilt für:SQL Server

SQL Server kann die Kennwortrichtlinienmechanismen von Windows verwenden. Die Kennwortrichtlinie gilt für eine Anmeldung, die die SQL Server-Authentifizierung verwendet, und für einen eigenständige Datenbankbenutzer mit Kennwort.

SQL Server kann die gleiche Komplexität und Ablaufrichtlinien anwenden, die in Windows auf Kennwörter angewendet werden, die in SQL Server verwendet werden. Diese Funktion basiert auf der NetValidatePasswordPolicy -API.

Hinweis

Die Azure SQL-Datenbank erzwingt die Kennwortkomplexität. Die Abschnitte "Kennwortablauf" und "Richtlinienerzwingung" gelten nicht für Azure SQL-Datenbank.

Informationen zur Kennwortrichtlinie für azure SQL Managed Instance finden Sie in unseren häufig gestellten Fragen zur verwalteten SQL-Instanz.

Kennwortkomplexität

Richtlinien zur Kennwortkomplexität werden als Maßnahme gegen Brute Force-Angriffe entworfen. Dabei wird die Anzahl der möglichen Kennwörter erhöht. Wenn eine Richtlinie zur Kennwortkomplexität erzwungen wird, müssen neue Kennwörter die folgenden Richtlinien erfüllen:

  • Das Kennwort enthält nicht den Kontonamen des Benutzers.

  • Das Kennwort ist wenigstens acht Zeichen lang.

  • Das Kennwort enthält Zeichen aus drei der folgenden vier Kategorien:

    • Lateinische Großbuchstaben (A - Z)

    • Lateinische Kleinbuchstaben (a - z)

    • Base 10-Ziffern (0 bis 9)

    • Nicht alphanumerische Zeichen, wie z. B.: Ausrufezeichen (!), Dollarzeichen ($), Nummernzeichen (#) oder Prozentzeichen (%)

Kennwörter können bis zu 128 Zeichen lang sein. Verwenden Sie möglichst lange und komplexe Kennwörter.

Ablauf des Kennworts

Richtlinien zum Ablauf von Kennwörtern werden verwendet, um die Lebensdauer von Kennwörtern zu verwalten. Wenn SQL Server die Richtlinie zum Ablauf von Kennwörtern erzwingt, werden Benutzer daran erinnert, alte Kennwörter zu ändern. Konten mit abgelaufenen Kennwörtern werden deaktiviert.

richtliniendurchsetzung

Das Erzwingen der Kennwortrichtlinie kann für jede SQL Server-Anmeldung einzeln konfiguriert werden. Verwenden Sie ALTER LOGIN (Transact-SQL), um die Kennwortrichtlinienoptionen einer SQL Server-Anmeldung zu konfigurieren. Die folgenden Regeln gelten für die Konfiguration zur Erzwingung der Kennwortrichtlinie:

  • Wenn CHECK_POLICY in ON geändert wird, kommt es zu folgenden Verhaltensweisen:

    • CHECK_EXPIRATION ist auch auf "EIN" festgelegt, es sei denn, sie ist explizit auf "AUS" festgelegt.

    • Der Kennwortverlauf wird mit dem Wert des aktuellen Kennworthashes initialisiert.

    • Kontosperrdauer, Kontensperrungsschwelleund Zurücksetzungsdauer des Kontosperrungszählers sind ebenfalls aktiviert.

  • Wenn CHECK_POLICY in OFF geändert wird, kommt es zu folgenden Verhaltensweisen:

    • CHECK_EXPIRATION wird ebenfalls auf OFF festgelegt.

    • Der Kennwortverlauf wird gelöscht.

    • Der Wert von lockout_time wird zurückgesetzt.

Einige Kombinationen von Richtlinienoptionen werden nicht unterstützt.

  • Falls MUST_CHANGE angegeben wird, müssen CHECK_EXPIRATION und CHECK_POLICY auf ON festgelegt werden. Andernfalls schlägt die Anweisung fehl.

  • Wenn CHECK_POLICY auf "AUS" festgelegt ist, kann CHECK_EXPIRATION nicht auf "EIN" festgelegt werden. Eine ALTER LOGIN-Anweisung mit dieser Kombination von Optionen erzeugt einen Fehler.

  • Durch Festlegen von CHECK_POLICY = ON wird verhindert, dass Kennwörter mit einem dieser Inhalte erstellt werden können:

    • NULL-Werte oder leere Kennwörter

    • Kennwörter, die dem Computer- oder Anmeldenamen entsprechen

    • Eines der folgenden Kennwörter: "kennwort", "admin", "administrator", "sa", "sysadmin"

Die Sicherheitsrichtlinie kann in Windows festgelegt oder von der Domäne abgerufen werden. Um die Kennwortrichtlinie auf dem Computer anzuzeigen, verwenden Sie das MMC-Snap-In „Lokale Sicherheitsrichtlinie“ (secpol.msc).

Hinweis

Bei SQL Server-Anmeldungen, die CHECK_POLICY aktiviert sind, wenn Sie ALTER LOGIN ausführen und nicht OLD_PASSWORD in den Befehl einschließen, um das Kennwort zu ändern, wird der Kennwortverlauf erzwingen ignoriert. Dies ist ein By-Design-Verhalten, um Kennwortzurücksetzungen trotz zuvor verwendeter Kennwörter zuzulassen. Andere mit CHECK_POLICY verknüpfte Prüfungen, einschließlich Länge und Komplexität, werden unabhängig davon überprüft, ob OLD_PASSWORD verwendet wird.

CREATE LOGIN (Transact-SQL)

ALTER LOGIN (Transact-SQL)

CREATE USER (Transact-SQL)

ALTER USER (Transact-SQL)

Erstellen eines Anmeldenamens

Erstellen eines Datenbankbenutzers

Sichere Kennwörter