Criteri passwordPassword Policy

SQL ServerSQL Server può usare i meccanismi di criteri password di Windows. can use Windows password policy mechanisms. I criteri password si applicano a un account di accesso che utilizza l'autenticazione SQL ServerSQL Server e a un utente del database indipendente con password.The password policy applies to a login that uses SQL ServerSQL Server authentication, and to a contained database user with password.

SQL ServerSQL Server può applicare gli stessi criteri di complessità e scadenza utilizzati in Windows alle password all'interno di SQL ServerSQL Server. can apply the same complexity and expiration policies used in Windows to passwords used inside SQL ServerSQL Server. Questa funzionalità dipende dall'API NetValidatePasswordPolicy .This functionality depends on the NetValidatePasswordPolicy API.

Database SQLSQL Database applica la complessità delle password. enforces password complexity. Le sezioni relative alla scadenza delle password e all'applicazione di criteri non si applicano a Database SQLSQL Database.The password expiration and policy enforcement sections do not apply to Database SQLSQL Database.

Complessità delle passwordPassword Complexity

I criteri di complessità delle password sono progettati per fungere da deterrente agli attacchi a forza bruta aumentando il numero di password possibili.Password complexity policies are designed to deter brute force attacks by increasing the number of possible passwords. Quando vengono applicati i criteri di complessità delle password, le nuove password devono soddisfare i requisiti seguenti:When password complexity policy is enforced, new passwords must meet the following guidelines:

  • Non devono contenere il nome account dell'utente.The password does not contain the account name of the user.

  • Devono essere composte da almeno otto caratteri.The password is at least eight characters long.

  • Devono contenere caratteri di almeno tre delle quattro categorie seguenti:The password contains characters from three of the following four categories:

    • Lettere maiuscole dell'alfabeto latino (dalla A alla Z)Latin uppercase letters (A through Z)

    • Lettere minuscole dell'alfabeto latino (dalla a alla z)Latin lowercase letters (a through z)

    • Numeri in base 10 (da 0 a 9)Base 10 digits (0 through 9)

    • Caratteri non alfanumerici, ad esempio punto esclamativo (!), dollaro ($), simbolo di cancelletto (#) o percentuale (%).Non-alphanumeric characters such as: exclamation point (!), dollar sign ($), number sign (#), or percent (%).

    Le password possono contenere fino a 128 caratteri.Passwords can be up to 128 characters long. È consigliabile utilizzare password più lunghe e complesse possibile.You should use passwords that are as long and complex as possible.

Scadenza delle passwordPassword Expiration

I criteri di scadenza delle password consentono di gestire l'intervallo di validità di una password.Password expiration policies are used to manage the lifespan of a password. Se in SQL ServerSQL Server vengono applicati i criteri di scadenza delle password, gli utenti ricevono un promemoria per la modifica delle vecchie password e gli account con password scadute vengono disabilitati.When SQL ServerSQL Server enforces password expiration policy, users are reminded to change old passwords, and accounts that have expired passwords are disabled.

Applicazione dei criteriPolicy Enforcement

L'applicazione dei criteri password può essere configurata separatamente per ogni account di accesso di SQL Server.The enforcement of password policy can be configured separately for each SQL Server login. Usare ALTER LOGIN (Transact-SQL) per configurare i criteri password di un account di accesso di SQL Server.Use ALTER LOGIN (Transact-SQL) to configure the password policy options of a SQL Server login. Le regole seguenti sono valide per la configurazione dell'applicazione dei criteri password:The following rules apply to the configuration of password policy enforcement:

  • Quando l'opzione CHECK_POLICY viene impostata su ON, si ottiene il comportamento seguente:When CHECK_POLICY is changed to ON, the following behaviors occur:

    • Anche CHECK_EXPIRATION viene impostato su ON, a meno che non lo si imposti esplicitamente su OFF.CHECK_EXPIRATION is also set to ON unless it is explicitly set to OFF.

    • La cronologia delle password viene inizializzata con il valore dell'hash della password corrente.The password history is initialized with the value of the current password hash.

    • Vengono inoltre abilitate le opzioniDurata blocco account, Soglia di blocchi dell'accounte Reimposta blocco account dopo .Account lockout duration, account lockout threshold, and reset account lockout counter after are also enabled.

  • Quando l'opzione CHECK_POLICY viene impostata su OFF, si ottiene il comportamento seguente:When CHECK_POLICY is changed to OFF, the following behaviors occur:

    • Anche l'opzione CHECK_EXPIRATION viene impostata su OFF.CHECK_EXPIRATION is also set to OFF.

    • Viene cancellata la cronologia delle password.The password history is cleared.

    • Viene reimpostato il valore di lockout_time .The value of lockout_time is reset.

    Alcune combinazioni di criteri non sono supportate.Some combinations of policy options are not supported.

  • Se si specifica MUST_CHANGE, è necessario impostare CHECK_EXPIRATION e CHECK_POLICY su ON.If MUST_CHANGE is specified, CHECK_EXPIRATION and CHECK_POLICY must be set to ON. In caso contrario, l'istruzione non verrà eseguita correttamente.Otherwise, the statement will fail.

  • Se l'opzione CHECK_POLICY è impostata su OFF, non è possibile impostare CHECK_EXPIRATION su ON.If CHECK_POLICY is set to OFF, CHECK_EXPIRATION cannot be set to ON. Un'istruzione ALTER LOGIN che presenta questa combinazione di opzioni avrà esito negativo.An ALTER LOGIN statement that has this combination of options will fail.

    L'impostazione di CHECK_POLICY su ON impedirà la creazione di password:Setting CHECK_POLICY = ON will prevent the creation of passwords that are:

  • Null o vuoteNull or empty

  • Equivalenti al nome del computer o dell'account di accessoSame as name of computer or login

  • Equivalenti a parole quali "password", "admin", "administrator", "sa", "sysadmin"Any of the following: "password", "admin", "administrator", "sa", "sysadmin"

    I criteri di sicurezza possono essere impostati in Windows o essere ricevuti dal dominio.The security policy might be set in Windows, or might be received from the domain. Per visualizzare i criteri password nel computer, usare lo snap-in MMC Criteri di sicurezza locali (secpol.msc).To view the password policy on the computer, use the Local Security Policy MMC snap-in (secpol.msc).

CREATE LOGIN (Transact-SQL)CREATE LOGIN (Transact-SQL)

ALTER LOGIN (Transact-SQL)ALTER LOGIN (Transact-SQL)

CREATE USER (Transact-SQL)CREATE USER (Transact-SQL)

ALTER USER (Transact-SQL)ALTER USER (Transact-SQL)

Creazione di un account di accessoCreate a Login

Creazione di un utente di databaseCreate a Database User

Password complesseStrong Passwords