KennwortrichtliniePassword Policy

GILT FÜR: jaSQL Server neinAzure SQL-DatenbankneinAzure SQL Data Warehouse neinParallel Data WarehouseAPPLIES TO: yesSQL Server noAzure SQL Database noAzure SQL Data Warehouse noParallel Data Warehouse

SQL ServerSQL Server kann Mechanismen der Windows-Kennwortrichtlinien verwenden.can use Windows password policy mechanisms. Die Kennwortrichtlinie gilt für eine Anmeldung, die die SQL ServerSQL Server -Authentifizierung verwendet, und für einen eigenständige Datenbankbenutzer mit Kennwort.The password policy applies to a login that uses SQL ServerSQL Server authentication, and to a contained database user with password.

SQL ServerSQL Server kann die gleichen Komplexitäts- und Ablaufrichtlinien anwenden, die in Windows für in SQL ServerSQL Serververwendete Kennwörter verwendet werden.can apply the same complexity and expiration policies used in Windows to passwords used inside SQL ServerSQL Server. Diese Funktion basiert auf der NetValidatePasswordPolicy -API.This functionality depends on the NetValidatePasswordPolicy API.

Hinweis

SQL-DatenbankSQL Database setzt die Kennwortkomplexität durch.enforces password complexity. Die Abschnitte zum Ablauf von Kennwörtern und zur Durchsetzung von Richtlinien gelten nicht für SQL-DatenbankSQL Database.The password expiration and policy enforcement sections do not apply to SQL-DatenbankSQL Database.

KennwortkomplexitätPassword Complexity

Richtlinien zur Kennwortkomplexität werden als Maßnahme gegen Brute Force-Angriffe entworfen. Dabei wird die Anzahl der möglichen Kennwörter erhöht.Password complexity policies are designed to deter brute force attacks by increasing the number of possible passwords. Wenn eine Richtlinie zur Kennwortkomplexität erzwungen wird, müssen neue Kennwörter die folgenden Richtlinien erfüllen:When password complexity policy is enforced, new passwords must meet the following guidelines:

  • Das Kennwort enthält nicht den Kontonamen des Benutzers.The password does not contain the account name of the user.

  • Das Kennwort ist wenigstens acht Zeichen lang.The password is at least eight characters long.

  • Das Kennwort enthält Zeichen aus drei der folgenden vier Kategorien:The password contains characters from three of the following four categories:

    • Lateinische Großbuchstaben (A - Z)Latin uppercase letters (A through Z)

    • Lateinische Kleinbuchstaben (a - z)Latin lowercase letters (a through z)

    • 10 Grundziffern (0 - 9)Base 10 digits (0 through 9)

    • Nicht alphanumerische Zeichen, wie z. B.: Ausrufezeichen (!), Dollarzeichen ($), Nummernzeichen (#) oder Prozentzeichen (%)Non-alphanumeric characters such as: exclamation point (!), dollar sign ($), number sign (#), or percent (%).

Kennwörter können bis zu 128 Zeichen lang sein.Passwords can be up to 128 characters long. Verwenden Sie möglichst lange und komplexe Kennwörter.Use passwords that are as long and complex as possible.

Ablauf des KennwortsPassword Expiration

Richtlinien zum Ablauf von Kennwörtern werden verwendet, um die Lebensdauer von Kennwörtern zu verwalten.Password expiration policies are used to manage the lifespan of a password. Wenn SQL ServerSQL Server die Richtlinie zum Ablauf von Kennwörtern durchsetzt, werden Benutzer daran erinnert, alte Kennwörter zu ändern. Konten mit abgelaufenen Kennwörtern werden deaktiviert.When SQL ServerSQL Server enforces password expiration policy, users are reminded to change old passwords, and accounts that have expired passwords are disabled.

RichtliniendurchsetzungPolicy Enforcement

Das Erzwingen der Kennwortrichtlinie kann für jede SQL Server-Anmeldung einzeln konfiguriert werden.The enforcement of password policy can be configured separately for each SQL Server login. Verwenden Sie ALTER LOGIN (Transact-SQL) , um die Kennwortrichtlinienoptionen für eine SQL Server-Anmeldung zu konfigurieren.Use ALTER LOGIN (Transact-SQL) to configure the password policy options of a SQL Server login. Die folgenden Regeln gelten für die Konfiguration zur Erzwingung der Kennwortrichtlinie:The following rules apply to the configuration of password policy enforcement:

  • Wenn CHECK_POLICY in ON geändert wird, kommt es zu folgenden Verhaltensweisen:When CHECK_POLICY is changed to ON, the following behaviors occur:

    • Für CHECK_EXPIRATION wird ebenfalls ON festgelegt, es sei denn, der Wert OFF wurde ausdrücklich festgelegt.CHECK_EXPIRATION is also set to ON unless it is explicitly set to OFF.

    • Der Kennwortverlauf wird mit dem Wert des aktuellen Kennworthashes initialisiert.The password history is initialized with the value of the current password hash.

    • Kontosperrdauer, Kontensperrungsschwelleund Zurücksetzungsdauer des Kontosperrungszählers sind ebenfalls aktiviert.Account lockout duration, account lockout threshold, and reset account lockout counter after are also enabled.

  • Wenn CHECK_POLICY in OFF geändert wird, kommt es zu folgenden Verhaltensweisen:When CHECK_POLICY is changed to OFF, the following behaviors occur:

    • CHECK_EXPIRATION wird ebenfalls auf OFF festgelegt.CHECK_EXPIRATION is also set to OFF.

    • Der Kennwortverlauf wird gelöscht.The password history is cleared.

    • Der Wert von lockout_time wird zurückgesetzt.The value of lockout_time is reset.

Einige Kombinationen von Richtlinienoptionen werden nicht unterstützt.Some combinations of policy options are not supported.

  • Falls MUST_CHANGE angegeben wird, müssen CHECK_EXPIRATION und CHECK_POLICY auf ON festgelegt werden.If MUST_CHANGE is specified, CHECK_EXPIRATION and CHECK_POLICY must be set to ON. Andernfalls schlägt die Anweisung fehl.Otherwise, the statement fails.

  • Falls CHECK_POLICY auf OFF festgelegt ist, kann CHECK_EXPIRATION nicht auf ON festgelegt werden.If CHECK_POLICY is set to OFF, CHECK_EXPIRATION cannot be set to ON. Eine ALTER LOGIN-Anweisung mit dieser Kombination von Optionen erzeugt einen Fehler.An ALTER LOGIN statement that has this combination of options will fail.

  • Durch Festlegen von CHECK_POLICY = ON wird verhindert, dass Kennwörter mit einem dieser Inhalte erstellt werden können:Setting CHECK_POLICY = ON prevents the creation of passwords that are:

    • NULL-Werte oder leere KennwörterNull or empty

    • Kennwörter, die dem Computer- oder Anmeldenamen entsprechenSame as name of computer or login

    • Eines der folgenden Kennwörter: "kennwort", "admin", "administrator", "sa", "sysadmin"Any of the following: "password", "admin", "administrator", "sa", "sysadmin"

Die Sicherheitsrichtlinie kann in Windows festgelegt oder von der Domäne abgerufen werden.The security policy might be set in Windows, or might be received from the domain. Um die Kennwortrichtlinie auf dem Computer anzuzeigen, verwenden Sie das MMC-Snap-In „Lokale Sicherheitsrichtlinie“ (secpol.msc).To view the password policy on the computer, use the Local Security Policy MMC snap-in (secpol.msc).

CREATE LOGIN (Transact-SQL)CREATE LOGIN (Transact-SQL)

ALTER LOGIN (Transact-SQL)ALTER LOGIN (Transact-SQL)

CREATE USER (Transact-SQL)CREATE USER (Transact-SQL)

ALTER USER (Transact-SQL)ALTER USER (Transact-SQL)

Erstellen eines AnmeldenamensCreate a Login

Erstellen eines DatenbankbenutzersCreate a Database User

Sichere KennwörterStrong Passwords