Auswählen eines Authentifizierungsmodus
Während des Setups müssen Sie einen Authentifizierungsmodus für Database Engine (Datenbankmodul) auswählen. Es gibt zwei mögliche Modi: den Windows-Authentifizierungsmodus und den gemischten Modus. Der Windows-Authentifizierungsmodus aktiviert die Windows-Authentifizierung und deaktiviert die SQL Server-Authentifizierung. Der gemischte Modus aktiviert sowohl die Windows-Authentifizierung als auch die SQL Server-Authentifizierung. Die Windows-Authentifizierung ist immer verfügbar und kann nicht deaktiviert werden.
Konfigurieren des Authentifizierungsmodus
Bei Auswahl der Authentifizierung im gemischten Modus während des Setups müssen Sie ein sicheres Kennwort für das vordefinierte SQL Server-Systemadministratorkonto mit der Bezeichnung sa angeben und dann bestätigen. Das sa-Konto stellt eine Verbindung mithilfe der SQL Server-Authentifizierung her.
Wenn Sie während des Setups Windows-Authentifizierung auswählen, erstellt Setup das sa-Konto für die SQL Server-Authentifizierung, die jedoch deaktiviert ist. Wenn Sie später zur Authentifizierung im gemischten Modus wechseln und das sa-Konto verwenden möchten, müssen Sie es aktivieren. Jedes Windows- oder SQL Server-Konto kann als Systemadministrator konfiguriert werden. Da das sa-Konto bekannt und oft das Ziel böswilliger Benutzer ist, aktivieren Sie das sa-Konto nur, wenn die Anwendung dies erfordert. Legen Sie niemals ein leeres oder schwaches Kennwort für das sa-Konto fest. Weitere Informationen finden Sie unter Ändern des Serverauthentifizierungsmodus, um vom Windows-Authentifizierungsmodus zur Authentifizierung im gemischten Modus zu wechseln und um die SQL Server-Authentifizierung zu verwenden.
Herstellen von Verbindungen mithilfe der Windows-Authentifizierung
Wenn ein Benutzer eine Verbindung über ein Windows-Benutzerkonto herstellt, überprüft SQL Server Kontonamen und Kennwort mithilfe des Tokens für den Windows-Prinzipal im Betriebssystem. Dies bedeutet, dass die Benutzeridentität von Windows bestätigt wird. Von SQL Server werden Sie nicht nach dem Kennwort gefragt, und es wird keine Identitätsüberprüfung ausgeführt. Die Windows-Authentifizierung ist der Standardauthentifizierungsmodus und bietet eine höhere Sicherheit als SQL Server-Authentifizierung. Die Windows-Authentifizierung verwendet das Kerberos-Sicherheitsprotokoll, stellt Maßnahmen zur Durchsetzung von Kennwortrichtlinien, z. B. zur Überprüfung der Komplexität sicherer Kennwörter, bereit und bietet Unterstützung für Kontosperrungen und Ablauf von Kennwörtern. Eine mit Windows-Authentifizierung hergestellte Verbindung wird manchmal als vertrauenswürdige Verbindung bezeichnet, da die von Windows bereitgestellten Anmeldeinformationen von SQL Server als vertrauenswürdig angesehen werden.
Durch die Verwendung der Windows-Authentifizierung können Windows-Gruppen auf Domänenebene und eine Anmeldung in SQL Server für die gesamte Gruppe erstellt werden. Die Zugriffsverwaltung auf Domänenebene kann die Kontoverwaltung vereinfachen.
.gif "Sicherheitshinweis") Sicherheitshinweis |
|---|
Verwenden Sie nach Möglichkeit die Windows-Authentifizierung. |
Herstellen von Verbindungen mithilfe der SQL Server-Authentifizierung
Bei Verwendung der SQL Server-Authentifizierung werden Anmeldungen in SQL Server erstellt, die nicht auf Windows-Benutzerkonten basieren. Sowohl der Benutzername als auch das Kennwort werden mit SQL Server erstellt und werden in SQL Server gespeichert. Benutzer, die mit SQL Server-Authentifizierung eine Verbindung herstellen, müssen jedes Mal ihre Anmeldeinformationen (Anmeldename und Kennwort) bereitstellen, wenn sie eine Verbindung herstellen. Bei der Verwendung von SQL Server-Authentifizierung müssen Sie sichere Kennwörter für alle SQL Server-Konten festlegen. Richtlinien zu sicheren Kennwörtern finden Sie unter Sichere Kennwörter.
Es sind drei optionale Kennwortrichtlinien für SQL Server-Anmeldungen verfügbar.
Benutzer muss das Kennwort bei der nächsten Anmeldung ändern
Erfordert das Ändern des Kennworts durch den Benutzer beim nächsten Herstellen einer Verbindung. Die Möglichkeit, das Kennwort zu ändern, wird von SQL Server Management Studio bereitgestellt. Softwareentwickler von Drittanbietern sollten diese Funktion bereitstellen, wenn diese Option verwendet wird.
Ablauf des Kennworts erzwingen
Die Richtlinie des Computers für das maximale Kennwortalter wird für SQL Server-Anmeldungen erzwungen.
Kennwortrichtlinie erzwingen
Die Windows-Kennwortrichtlinien des Computers werden für SQL Server-Anmeldungen erzwungen. Dies schließt Kennwortlänge und -komplexität ein. Diese Funktionalität hängt von der NetValidatePasswordPolicy-API ab, die nur unter Windows Server 2003 oder höher verfügbar ist.
So bestimmen Sie die Kennwortrichtlinien für den lokalen Computer
Klicken Sie im Menü Start auf den Befehl Ausführen.
Geben Sie secpol.msc im Dialogfeld Ausführen ein, und klicken Sie dann auf OK.
Erweitern Sie in der Anwendung Lokale Sicherheitseinstellung die Sicherheitseinstellungen, erweitern Sie Kontorichtlinien, und klicken Sie dann auf Kennwortrichtlinie.
Die Kennwortrichtlinien werden im Ergebnisbereich beschrieben.
Nachteile der SQL Server-Authentifizierung
Wenn ein Benutzer ein Windows-Domänenbenutzer ist und über einen Anmeldenamen und ein Kennwort für Windows verfügt, muss er trotzdem einen weiteren (SQL Server)-Anmeldenamen und ein weiteres Kennwort angeben, um eine Verbindung herzustellen. Das Nachverfolgen mehrerer Namen und Kennwörter ist für viele Benutzer schwierig. Bei jedem Herstellen einer Verbindung SQL Server-Anmeldeinformationen angeben zu müssen, kann ärgerlich sein.
Die SQL Server-Authentifizierung kann kein Kerberos-Sicherheitsprotokoll verwenden.
Windows bietet zusätzliche Kennwortrichtlinien, die für SQL Server-Anmeldungen nicht verfügbar sind.
Das verschlüsselte Anmeldekennwort für die SQL Server-Authentifizierung muss beim Herstellen der Verbindung über das Netzwerk übergeben werden. Einige Anwendungen, die automatisch eine Verbindung herstellen, speichern das Kennwort auf dem Client. So entstehen zusätzliche Angriffspunkte.
Vorteile der SQL Server-Authentifizierung
Ermöglicht SQL Server die Unterstützung von Anwendungen, die älter sind oder von Drittanbietern bereitgestellt werden und die SQL Server-Authentifizierung erfordern.
Ermöglicht SQL Server, Umgebungen mit gemischten Betriebssystemen zu unterstützen, in denen nicht alle Benutzer von einer Windows-Domäne authentifiziert werden.
Ermöglicht es Benutzern, eine Verbindung von unbekannten oder nicht vertrauenswürdigen Domänen herzustellen. Zum Beispiel von einer Anwendung, bei der bestehende Kunden Verbindungen mit zugewiesenen SQL Server-Anmeldeinformationen herstellen, um den Status Ihrer Bestellungen abzufragen.
Ermöglicht SQL Server, webbasierte Anwendungen zu unterstützen, bei denen Benutzer ihre eigenen Identitäten erstellen.
Ermöglicht es Softwareentwicklern, ihre Anwendungen mit einer komplexen Berechtigungshierarchie auf der Basis von bekannten, voreingestellten SQL Server-Anmeldeinformationen zu verteilen.
.gif "Hinweis")
HinweisDas Verwenden von SQL Server-Authentifizierung schränkt die Berechtigungen lokaler Administratoren für den Computer nicht ein, wenn SQL Server installiert ist.