Stratégie de mot de passePassword Policy

Cette rubrique s’applique à : OuiSQL Serveraucunbase de données SQL AzureaucunAzure SQL Data Warehouse aucun Parallel Data WarehouseTHIS TOPIC APPLIES TO: yesSQL ServernoAzure SQL DatabasenoAzure SQL Data Warehouse noParallel Data Warehouse

SQL ServerSQL Server peut exploiter les mécanismes de stratégie de mot de passe Windows. can use Windows password policy mechanisms. La stratégie de mot de passe s'applique à une connexion qui utilise l'authentification SQL ServerSQL Server et à un utilisateur de base de données à relation contenant-contenu avec un mot de passe.The password policy applies to a login that uses SQL ServerSQL Server authentication, and to a contained database user with password.

SQL ServerSQL Server peut appliquer aux mots de passe utilisés dans SQL ServerSQL Serverdes stratégies de complexité et d'expiration identiques à celles de Windows. can apply the same complexity and expiration policies used in Windows to passwords used inside SQL ServerSQL Server. Cette fonctionnalité dépend de l'API NetValidatePasswordPolicy .This functionality depends on the NetValidatePasswordPolicy API.

Base de données SQLSQL Database applique la complexité du mot de passe. enforces password complexity. Les sections sur l’expiration du mot de passe et l’application de la stratégie ne s’appliquent pas à la Base de données SQLSQL Database.The password expiration and policy enforcement sections do not apply to Base de données SQLSQL Database.

Complexité des mots de passePassword Complexity

Les stratégies de mot de passe complexes sont conçues pour décourager les attaques en augmentant le nombre de mots de passe possibles.Password complexity policies are designed to deter brute force attacks by increasing the number of possible passwords. Lorsque la stratégie de mot de passe complexe est mise en œuvre, les nouveaux mots de passe doivent respecter les critères suivants :When password complexity policy is enforced, new passwords must meet the following guidelines:

  • Le mot de passe ne doit pas contenir le nom du compte de l'utilisateur.The password does not contain the account name of the user.

  • Les mots de passe doivent compter au moins huit caractères.The password is at least eight characters long.

  • Les mots de passe doivent contenir des caractères appartenant à trois des quatre catégories suivantes :The password contains characters from three of the following four categories:

    • Lettres majuscules de l'alphabet latin (A à Z)Latin uppercase letters (A through Z)

    • Lettres minuscules de l'alphabet latin (a à z)Latin lowercase letters (a through z)

    • Chiffres de la base 10 (0 à 9)Base 10 digits (0 through 9)

    • Caractères non alphanumériques tels que : point d'exclamation (!), symbole dollar ($), signe dièse (#) ou pour cent (%).Non-alphanumeric characters such as: exclamation point (!), dollar sign ($), number sign (#), or percent (%).

    Les mots de passe peuvent comporter jusqu'à 128 caractères.Passwords can be up to 128 characters long. Vous devez utiliser des mots de passe aussi longs et complexes que possible.You should use passwords that are as long and complex as possible.

Expiration des mots de passePassword Expiration

Les stratégies d'expiration des mots de passe servent à gérer la durée de vie d'un mot de passe.Password expiration policies are used to manage the lifespan of a password. Lorsque SQL ServerSQL Server applique la stratégie d'expiration des mots de passe, les utilisateurs sont invités à modifier leurs anciens mots de passe, et les comptes associés à des mots de passe arrivés à expiration sont désactivés.When SQL ServerSQL Server enforces password expiration policy, users are reminded to change old passwords, and accounts that have expired passwords are disabled.

Mode d'application d'une stratégiePolicy Enforcement

L'application de la stratégie de mot de passe peut être configurée séparément pour chaque connexion SQL Server.The enforcement of password policy can be configured separately for each SQL Server login. Utilisez ALTER LOGIN (Transact-SQL) pour configurer les options de stratégie de mot de passe d’une connexion SQL Server.Use ALTER LOGIN (Transact-SQL) to configure the password policy options of a SQL Server login. Les règles suivantes régissent la configuration du mode d'application des stratégies de mot de passe :The following rules apply to the configuration of password policy enforcement:

  • Lorsque CHECK_POLICY prend la valeur ON, les actions suivantes se produisent :When CHECK_POLICY is changed to ON, the following behaviors occur:

    • CHECK_EXPIRATION prend également la valeur ON, sauf si la valeur OFF est définie explicitement.CHECK_EXPIRATION is also set to ON unless it is explicitly set to OFF.

    • L'historique du mot de passe est initialisé avec la valeur du hachage de mot de passe actuel.The password history is initialized with the value of the current password hash.

    • Les optionsDurée de verrouillage de compte, Seuil de verrouillage de compteet Réinitialiser le compteur de verrouillages du compte après sont également activées.Account lockout duration, account lockout threshold, and reset account lockout counter after are also enabled.

  • Lorsque CHECK_POLICY prend la valeur OFF, les actions suivantes se produisent :When CHECK_POLICY is changed to OFF, the following behaviors occur:

    • CHECK_EXPIRATION ON prend également la valeur OFF.CHECK_EXPIRATION is also set to OFF.

    • L'historique du mot de passe est supprimé.The password history is cleared.

    • La valeur de lockout_time est réinitialisée.The value of lockout_time is reset.

    Certaines combinaisons d'options de stratégie ne sont pas prises en charge.Some combinations of policy options are not supported.

  • Si MUST_CHANGE est spécifié, CHECK_EXPIRATION et CHECK_POLICY doivent prendre la valeur ON.If MUST_CHANGE is specified, CHECK_EXPIRATION and CHECK_POLICY must be set to ON. Sans quoi, l'instruction échoue.Otherwise, the statement will fail.

  • Si CHECK_POLICY prend la valeur OFF, CHECK_EXPIRATION ne peut pas prendre la valeur ON.If CHECK_POLICY is set to OFF, CHECK_EXPIRATION cannot be set to ON. Si cette combinaison d'options est utilisée dans une instruction ALTER LOGIN, l'instruction échoue.An ALTER LOGIN statement that has this combination of options will fail.

    Le paramètre CHECK_POLICY = ON interdit la création des mots de passe qui sont :Setting CHECK_POLICY = ON will prevent the creation of passwords that are:

  • NULL ou videsNull or empty

  • Identiques au nom de l'ordinateur ou de la connexionSame as name of computer or login

  • Égaux à : « password », « admin », « administrator », « sa », « sysadmin »Any of the following: "password", "admin", "administrator", "sa", "sysadmin"

    La stratégie de sécurité peut être définie dans Windows ou peut être reçue du domaine.The security policy might be set in Windows, or might be received from the domain. Pour afficher la stratégie de mot de passe sur l’ordinateur, utilisez le composant logiciel enfichable MMC Stratégie de sécurité locale (secpol.msc).To view the password policy on the computer, use the Local Security Policy MMC snap-in (secpol.msc).

CREATE LOGIN (Transact-SQL)CREATE LOGIN (Transact-SQL)

ALTER LOGIN (Transact-SQL)ALTER LOGIN (Transact-SQL)

CREATE USER (Transact-SQL)CREATE USER (Transact-SQL)

ALTER USER (Transact-SQL)ALTER USER (Transact-SQL)

Créer un compte de connexionCreate a Login

Créer un utilisateur de base de donnéesCreate a Database User

Mots de passe fortsStrong Passwords