Elegir un modo de autenticaciónChoose an Authentication Mode

Se aplica a:Applies to: síSQL ServerSQL Server (todas las versiones admitidas) yesSQL ServerSQL Server (all supported versions) Se aplica a:Applies to: síSQL ServerSQL Server (todas las versiones admitidas) yesSQL ServerSQL Server (all supported versions)

Durante la instalación, debe seleccionar un modo de autenticación para Motor de base de datosDatabase Engine.During setup, you must select an authentication mode for the Motor de base de datosDatabase Engine. Hay dos posibles modos: modo de autenticación de Windows y modo mixto.There are two possible modes: Windows Authentication mode and mixed mode. El modo de autenticación de Windows habilita la autenticación de Windows y deshabilita la autenticación de SQL ServerSQL Server .Windows Authentication mode enables Windows Authentication and disables SQL ServerSQL Server Authentication. El modo mixto habilita tanto la autenticación de Windows como la de SQL ServerSQL Server .Mixed mode enables both Windows Authentication and SQL ServerSQL Server Authentication. La autenticación de Windows está disponible siempre y no se puede deshabilitar.Windows Authentication is always available and cannot be disabled.

Configurar el modo de autenticaciónConfiguring the Authentication Mode

Si selecciona la autenticación de modo mixto durante la instalación, debe proporcionar una contraseña segura, y confirmarla después, para la cuenta integrada de administrador del sistema de SQL ServerSQL Server denominada sa.If you select Mixed Mode Authentication during setup, you must provide and then confirm a strong password for the built-in SQL ServerSQL Server system administrator account named sa. La cuenta sa se conecta mediante la autenticación de SQL ServerSQL Server .The sa account connects by using SQL ServerSQL Server Authentication.

Si selecciona la autenticación de Windows durante la instalación, el programa de instalación crea la cuenta sa para la autenticación de SQL ServerSQL Server pero se deshabilita.If you select Windows Authentication during setup, Setup creates the sa account for SQL ServerSQL Server Authentication but it is disabled. Si después cambia a la autenticación de modo mixto y desea utilizar la cuenta sa, debe habilitar la cuenta.If you later change to Mixed Mode Authentication and you want to use the sa account, you must enable the account. Cualquier cuenta de SQL ServerSQL Server o de Windows se puede configurar como del administrador del sistema.Any Windows or SQL ServerSQL Server account can be configured as a system administrator. Dado que la cuenta sa es muy conocida y a menudo es el objetivo de usuarios malintencionados, no la habilite a menos que la aplicación lo requiera.Because the sa account is well known and often targeted by malicious users, do not enable the sa account unless your application requires it. Nunca establezca una contraseña en blanco o con poca seguridad para la cuenta sa.Never set a blank or weak password for the sa account. Para cambiar del modo de autenticación de Windows a la autenticación de modo mixto y usar la autenticación de SQL ServerSQL Server , vea Cambiar el modo de autenticación del servidor.To change from Windows Authentication mode to Mixed Mode Authentication and use SQL ServerSQL Server Authentication, see Change Server Authentication Mode.

Conectar a través de la autenticación de WindowsConnecting Through Windows Authentication

Cuando un usuario se conecta a través de una cuenta de usuario de Microsoft Windows, SQL ServerSQL Server valida el nombre de cuenta y la contraseña con el token de la entidad de seguridad de Windows del sistema operativo.When a user connects through a Windows user account, SQL ServerSQL Server validates the account name and password using the Windows principal token in the operating system. Esto significa que Windows confirma la identidad del usuario.This means that the user identity is confirmed by Windows. SQL ServerSQL Server no pide la contraseña y no realiza la validación de identidad.does not ask for the password, and does not perform the identity validation. La autenticación de Windows es el modo de autenticación predeterminado y es mucho más seguro que la autenticación de SQL ServerSQL Server .Windows Authentication is the default authentication mode, and is much more secure than SQL ServerSQL Server Authentication. La autenticación de Windows usa el protocolo de seguridad de Kerberos, proporciona la aplicación de directivas de contraseñas en cuanto a la validación de la complejidad de las contraseñas seguras, ofrece compatibilidad para el bloqueo de cuentas y admite la expiración de las contraseñas.Windows Authentication uses Kerberos security protocol, provides password policy enforcement with regard to complexity validation for strong passwords, provides support for account lockout, and supports password expiration. Una conexión realizada utilizando la autenticación de Windows se denomina a veces conexión de confianza, porque SQL ServerSQL Server confía en las credenciales proporcionadas por Windows.A connection made using Windows Authentication is sometimes called a trusted connection, because SQL ServerSQL Server trusts the credentials provided by Windows.

Cuando se emplea la autenticación de Windows, se pueden crear grupos de Windows en el nivel de dominio y se puede crear un inicio de sesión en SQL ServerSQL Server para todo el grupo.By using Windows Authentication, Windows groups can be created at the domain level, and a login can be created on SQL ServerSQL Server for the entire group. La administración del acceso desde el nivel de dominio puede simplificar la administración de cuentas.Managing access from at the domain level can simplify account administration.

Importante

Siempre que sea posible, utilice la autenticación de Windows.When possible, use Windows authentication.

Conectar a través de la autenticación de SQL ServerConnecting Through SQL Server Authentication

Cuando se utiliza la autenticación de SQL ServerSQL Server , los inicios de sesión se crean en SQL ServerSQL Server y no se basan en cuentas de usuario de Windows.When using SQL ServerSQL Server Authentication, logins are created in SQL ServerSQL Server that are not based on Windows user accounts. El nombre de usuario y la contraseña se crean utilizando SQL ServerSQL Server y se almacenan en SQL ServerSQL Server.Both the user name and the password are created by using SQL ServerSQL Server and stored in SQL ServerSQL Server. Los usuarios que se conectan usando la autenticación de SQL ServerSQL Server deben indicar sus credenciales (inicio de sesión y contraseña) cada vez que se conectan.Users connecting using SQL ServerSQL Server Authentication must provide their credentials (login and password) every time that they connect. Al utilizar la autenticación de SQL ServerSQL Server , debe establecer contraseñas seguras para todas las cuentas de SQL ServerSQL Server .When using SQL ServerSQL Server Authentication, you must set strong passwords for all SQL ServerSQL Server accounts. Para obtener las directrices para contraseñas seguras, vea Strong Passwords.For strong password guidelines, see Strong Passwords.

Hay tres directivas de contraseñas opcionales para los inicios de sesión de SQL ServerSQL Server .Three optional password policies are available for SQL ServerSQL Server logins.

  • El usuario debe cambiar la contraseña en el siguiente inicio de sesiónUser must change password at next login

    Exige que el usuario cambie la contraseña la próxima vez que se conecte.Requires the user to change the password the next time that the user connects. SQL Server Management StudioSQL Server Management Studioproporciona la capacidad de cambiar la contraseña.The ability to change the password is provided by SQL Server Management StudioSQL Server Management Studio. Otros desarrolladores de software deberían proporcionar esta característica si se utiliza esta opción.Third-party software developers should provide this feature if this option is used.

  • Exigir expiración de contraseñaEnforce password expiration

    La directiva de duración máxima de la contraseña del equipo se exige para los inicios de sesión de SQL ServerSQL Server .The maximum password age policy of the computer is enforced for SQL ServerSQL Server logins.

  • Exigir directivas de contraseñasEnforce password policy

    Las directivas de contraseñas de Windows del equipo se exigen para los inicios de sesión de SQL ServerSQL Server .The Windows password policies of the computer are enforced for SQL ServerSQL Server logins. Esto incluye la longitud y complejidad de las contraseñas.This includes password length and complexity. Esta funcionalidad depende de la API NetValidatePasswordPolicy , que solo está disponible en Windows Server 2003Windows Server 2003 y versiones posteriores.This functionality depends on the NetValidatePasswordPolicy API, which is only available in Windows Server 2003Windows Server 2003 and later versions.

Para determinar las directivas de las contraseñas del equipo localTo determine the password policies of the local computer

  1. En el menú Inicio , haga clic en Ejecutar.On the Start menu, click Run.

  2. En el cuadro de diálogo Ejecutar , escriba secpol.mscy haga clic en Aceptar.In the Run dialog box, type secpol.msc, and then click OK.

  3. En la aplicación Configuración de seguridad local , expanda Configuración de seguridad, expanda Directivas de cuentay, a continuación, haga clic en Directiva de contraseñas.In the Local Security Settings application, expand Security Settings, expand Account Policies, and then click Password Policy.

    Las directivas de contraseñas se describen en el panel de resultados.The password policies are described in the results pane.

Desventajas de la autenticación de SQL ServerDisadvantages of SQL Server Authentication

  • Si un usuario del dominio de Windows tiene un inicio de sesión y una contraseña para Windows, aún debe proporcionar otro inicio de sesión y contraseña (SQL ServerSQL Server) para conectarse.If a user is a Windows domain user who has a login and password for Windows, they must still provide another (SQL ServerSQL Server) login and password to connect. Hacer el seguimiento de varios nombres y contraseñas es difícil para muchos usuarios.Keeping track of multiple names and passwords is difficult for many users. Tener que proporcionar las credenciales de SQL ServerSQL Server cada vez que se conectan a la base de datos puede resultar molesto.Having to provide SQL ServerSQL Server credentials every time that one connects to the database can be annoying.

  • SQL ServerSQL Server no puede utilizar el protocolo de seguridad de Kerberos.Authentication cannot use Kerberos security protocol.

  • Windows proporciona directivas de contraseñas adicionales que no están disponibles para los inicios de sesión de SQL ServerSQL Server .Windows offers additional password policies that are not available for SQL ServerSQL Server logins.

  • La contraseña de inicio de sesión cifrada de la autenticación de SQL ServerSQL Server se debe pasar a través de la red en el momento de la conexión.The encrypted SQL ServerSQL Server Authentication login password, must be passed over the network at the time of the connection. Algunas aplicaciones que se conectan automáticamente almacenarán la contraseña en el cliente.Some applications that connect automatically will store the password at the client. Estos puntos de ataque adicionales.These are additional attack points.

Ventajas de la autenticación de SQL ServerAdvantages of SQL Server Authentication

  • Permite a SQL ServerSQL Server admitir aplicaciones anteriores y aplicaciones proporcionadas por terceros que requieren la autenticación de SQL ServerSQL Server .Allows SQL ServerSQL Server to support older applications and applications provided by third parties that require SQL ServerSQL Server Authentication.

  • Permite que SQL ServerSQL Server admita entornos con sistemas operativos mixtos, en los que un dominio de Windows no autentica a todos los usuarios.Allows SQL ServerSQL Server to support environments with mixed operating systems, where all users are not authenticated by a Windows domain.

  • Permite a los usuarios conectarse desde dominios desconocidos o que no son de confianza.Allows users to connect from unknown or untrusted domains. Por ejemplo, una aplicación en la que los clientes establecidos se conectan con los inicios de sesión de SQL ServerSQL Server asignados para recibir el estado de sus pedidos.For instance, an application where established customers connect with assigned SQL ServerSQL Server logins to receive the status of their orders.

  • Permite que SQL ServerSQL Server admita aplicaciones basadas en web en las que los usuarios crean sus propias identidades.Allows SQL ServerSQL Server to support Web-based applications where users create their own identities.

  • Permite a los desarrolladores de software distribuir sus aplicaciones utilizando una jerarquía de permisos compleja basada en los inicios de sesión conocidos y preestablecidos de SQL ServerSQL Server .Allows software developers to distribute their applications by using a complex permission hierarchy based on known, preset SQL ServerSQL Server logins.

    Nota

    Al utilizar la autenticación de SQL ServerSQL Server , no se limitan los permisos de los administradores locales en el equipo donde se instala SQL ServerSQL Server .Using SQL ServerSQL Server Authentication does not limit the permissions of local administrators on the computer where SQL ServerSQL Server is installed.

Consulte tambiénSee Also

Consideraciones de seguridad para una instalación de SQL ServerSecurity Considerations for a SQL Server Installation