Auswählen eines Authentifizierungsmodus

Gilt für:yes SQL Server (alle unterstützten Versionen)

Während des Setups müssen Sie einen Authentifizierungsmodus für die Datenbank-Engine. Es gibt zwei mögliche Modi: den Windows-Authentifizierungsmodus und den gemischten Modus. Windows Authentifizierungsmodus aktiviert Windows Authentifizierung und deaktiviert SQL Server Authentifizierung. Der gemischte Modus aktiviert sowohl die Windows Authentifizierung als auch SQL Server Authentifizierung. Die Windows-Authentifizierung ist immer verfügbar und kann nicht deaktiviert werden.

Konfigurieren des Authentifizierungsmodus

Wenn Sie während des Setups Authentifizierung im gemischten Modus auswählen, müssen Sie ein starkes Kennwort für das integrierte SQL Server-Administratorkonto mit dem Namen sa angeben und bestätigen. Das sa-Konto stellt eine Verbindung mithilfe SQL Server Authentifizierung.

Wenn Sie während Windows Authentifizierung auswählen, erstellt Setup das sa-Konto für SQL Server-Authentifizierung, ist aber deaktiviert. Wenn Sie später zur Authentifizierung im gemischten Modus wechseln und das sa-Konto verwenden möchten, müssen Sie es aktivieren. Alle Windows oder SQL Server können als Systemadministrator konfiguriert werden. Da das sa-Konto bekannt und oft das Ziel böswilliger Benutzer ist, aktivieren Sie das sa-Konto nur, wenn Ihre Anwendung dies erfordert. Legen Sie auf keinen Fall ein leeres oder unsicheres Kennwort für das sa-Konto fest. Informationen zum Ändern Windows Authentifizierungsmodus in die Authentifizierung im gemischten Modus und zum Verwenden SQL Server-Authentifizierung finden Sie unter Ändern des Serverauthentifizierungsmodus.

Herstellen von Verbindungen mithilfe der Windows-Authentifizierung

Wenn ein Benutzer über ein Windows Benutzerkonto eine Verbindung herstellt, überprüft SQL Server den Kontonamen und das Kennwort mithilfe des Windows Prinzipaltokens im Betriebssystem. Dies bedeutet, dass die Benutzeridentität von Windows bestätigt wird. SQL Server fragt nicht nach dem Kennwort und führt die Identitätsüberprüfung nicht aus. Windows Authentifizierung ist der Standardauthentifizierungsmodus und wesentlich sicherer als SQL Server Authentifizierung. Die Windows-Authentifizierung verwendet das Kerberos-Sicherheitsprotokoll, stellt Maßnahmen zur Durchsetzung von Kennwortrichtlinien, z. B. zur Überprüfung der Komplexität sicherer Kennwörter, bereit und bietet Unterstützung für Kontosperrungen und Ablauf von Kennwörtern. Eine verbindung, die mithilfe Windows-Authentifizierung hergestellt wird, wird manchmal als vertrauenswürdige Verbindung bezeichnet, da SQL Server den anmeldeinformationen vertraut, die von Windows.

Mithilfe Windows-Authentifizierung können Windows Gruppen auf Domänenebene erstellt werden, und eine Anmeldung kann auf der SQL Server für die gesamte Gruppe erstellt werden. Die Zugriffsverwaltung auf Domänenebene kann die Kontoverwaltung vereinfachen.

Wichtig

Verwenden Sie nach Möglichkeit die Windows-Authentifizierung.

Herstellen von Verbindungen mithilfe der SQL Server-Authentifizierung

Bei Verwendung der SQL Server-Authentifizierung werden in SQL Server Anmeldungen erstellt, die nicht auf Windows-Benutzerkonten basieren. Der Benutzername und das Kennwort werden mithilfe von SQL Server erstellt und in SQL Server gespeichert. Benutzer, die mithilfe SQL Server-Authentifizierung eine Verbindung herstellen, müssen bei jeder Verbindung ihre Anmeldeinformationen (Anmeldung und Kennwort) angeben. Wenn Sie SQL Server-Authentifizierung verwenden, müssen Sie sichere Kennwörter für alle SQL Server festlegen. Richtlinien zu sicheren Kennwörtern finden Sie unter Strong Passwords.

Drei optionale Kennwortrichtlinien sind für SQL Server verfügbar.

  • Benutzer muss das Kennwort bei der nächsten Anmeldung ändern

    Erfordert das Ändern des Kennworts durch den Benutzer beim nächsten Herstellen einer Verbindung. Die Möglichkeit zum Ändern des Kennworts wird von SQL Server Management Studio. Softwareentwickler von Drittanbietern sollten diese Funktion bereitstellen, wenn diese Option verwendet wird.

  • Ablauf des Kennworts erzwingen

    Die Richtlinie für das maximale Kennwortalter des Computers wird für SQL Server erzwungen.

  • Kennwortrichtlinie erzwingen

    Die Windows Kennwortrichtlinien des Computers werden für SQL Server erzwungen. Dies schließt Kennwortlänge und -komplexität ein. Diese Funktionalität hängt von der NetValidatePasswordPolicy API ab, die nur in Windows Server 2003 und höher verfügbar ist.

So bestimmen Sie die Kennwortrichtlinien für den lokalen Computer

  1. Klicken Sie im Menü Start auf Ausführen.

  2. Geben Sie secpol.msc im Dialogfeld Ausführenein, und klicken Sie dann auf OK.

  3. Erweitern Sie in der Anwendung Lokale Sicherheitseinstellung die Sicherheitseinstellungen, erweitern Sie Kontorichtlinien, und klicken Sie dann auf Kennwortrichtlinie.

    Die Kennwortrichtlinien werden im Ergebnisbereich beschrieben.

Nachteile der SQL Server-Authentifizierung

  • Wenn ein Benutzer ein Windows-Domänenbenutzer ist, der über einen Anmeldenamen und ein Kennwort für Windows verfügt, muss er trotzdem einen weiteren (SQL Server)-Anmeldenamen und ein kennwort angeben, um eine Verbindung herzustellen. Das Nachverfolgen mehrerer Namen und Kennwörter ist für viele Benutzer schwierig. Es kann lästig sein, SQL Server Anmeldeinformationen bei jeder Verbindung mit der Datenbank bereitstellen zu müssen.

  • SQL Server Authentifizierung kann das Kerberos-Sicherheitsprotokoll nicht verwenden.

  • Windows bietet zusätzliche Kennwortrichtlinien, die nicht für SQL Server verfügbar sind.

  • Das verschlüsselte SQL Server-Anmeldekennwort für die Authentifizierung muss zum Zeitpunkt der Verbindung über das Netzwerk übergeben werden. Einige Anwendungen, die automatisch eine Verbindung herstellen, speichern das Kennwort auf dem Client. So entstehen zusätzliche Angriffspunkte.

Vorteile der SQL Server-Authentifizierung

  • Ermöglicht SQL Server, ältere Anwendungen und Anwendungen zu unterstützen, die von Drittanbietern bereitgestellt werden und eine SQL Server erfordern.

  • Ermöglicht SQL Server, Umgebungen mit gemischten Betriebssystemen zu unterstützen, in denen nicht alle Benutzer von einer Windows werden.

  • Ermöglicht es Benutzern, von unbekannten oder nicht vertrauenswürdigen Domänen aus eine Verbindung herzustellen. Beispiel: Eine Anwendung, bei der etablierte Kunden eine Verbindung mit zugewiesenen SQL Server-Anmeldungen herstellen, um den Status ihrer Bestellungen zu erhalten.

  • Ermöglicht SQL Server, webbasierte Anwendungen zu unterstützen, bei denen Benutzer ihre eigenen Identitäten erstellen.

  • Ermöglicht Softwareentwicklern die Verteilung ihrer Anwendungen mithilfe einer komplexen Berechtigungshierarchie, die auf bekannten, voreingestellten SQL Server-Anmeldungen basiert.

    Hinweis

    Die SQL Server-Authentifizierung schränkt die Berechtigungen lokaler Administratoren auf dem Computer, auf dem SQL Server installiert ist, nicht ein.

Weitere Informationen

Überlegungen zur Sicherheit bei SQL Server-Installationen