パスワードポリシー

適用対象:SQL Server (サポートされているすべてのバージョン)

SQL Server は Windows のパスワードポリシーメカニズムに対応しています。パスワードポリシーは、認証を使用するログインSQL Serverパスワードを持つ含まれるデータベースユーザーに適用されます。

SQL Serverで使用されるのと同じ複雑さおよび有効期限ポリシーを、Windows内で使用されるパスワードに適用SQL Server。この機能は NetValidatePasswordPolicy API に依存します。

Note

SQL Databaseパスワードの複雑さを強制します。パスワードの有効期限とポリシーの適用に関するセクションは、パスワードの有効期限SQL Database。

パスワードの複雑性

パスワードの複雑性のポリシーは、使用可能なパスワードの数を増やすことにより、総当り攻撃を防ぐようにデザインされています。パスワードの複雑性のポリシーが適用される場合、新しいパスワードは次のガイドラインを満たしている必要があります。

パスワードはユーザーアカウント名を含まない。
パスワードは 8 文字以上である。
パスワードは次の 4 つのカテゴリのうちの 3 つのカテゴリの文字を含む。
- ラテン文字の大文字 (A ～ Z)
- ラテン文字の小文字 (a ～ z)
- 算用数字 (0 ～ 9)
- 感嘆符 (!)、ドル記号 ($)、番号記号 (#)、パーセント記号 (%) などの英数字以外の文字

パスワードには最大 128 文字まで使用できます。パスワードはできるだけ長く、複雑にします。

パスワードの有効期限のポリシーは、パスワードの寿命を管理します。 SQL Server でパスワードの有効期限が適用されている場合、ユーザーは古いパスワードを変更するよう通知され、有効期限が切れたパスワードを持つアカウントは無効になります。

パスワードポリシーの適用は、SQL Server ログインごとに個別に構成できます。 ALTER LOGIN (Transact-SQL) を使用して、新しいログインのパスワード SQL Serverします。パスワードポリシーの適用を構成する際に、次の規則が当てはまります。

CHECK_POLICY を ON に変更した場合、次の動作が行われます。
- CHECK_EXPIRATION も、明示的に OFF に設定されない限り、ON に設定されます。
- パスワードの履歴が、現在のパスワードハッシュの値に初期化されます。
- [アカウントロックアウトの期間] 、 [アカウントロックアウトのしきい値] 、および [ロックアウトカウンターのリセット] も有効になります。
CHECK_POLICY を OFF に変更した場合、次の動作が行われます。
- CHECK_EXPIRATION も OFF に設定されます。
- パスワード履歴は消去されます。
- lockout_time の値がリセットされます。

ポリシーオプションの組み合わせには、サポートされないものがあります。

MUST_CHANGE が指定された場合、CHECK_EXPIRATION および CHECK_POLICY は ON に設定されなければなりません。 ON に設定しない場合、ステートメントは失敗します。
CHECK_POLICY を OFF に設定した場合、CHECK_EXPIRATION を ON に設定することはできません。このオプションの組み合わせで ALTER LOGIN ステートメントを実行すると、ステートメントは失敗します。
CHECK_POLICY = ON を設定すると、次のようなパスワードは作成できなくなります。
- NULL または空文字列
- コンピューター名またはログイン名と同じ文字列
- "password"、"admin"、"administrator"、"sa"、"sysadmin" のいずれかの文字列

セキュリティポリシーは、Windows で設定する場合も、ドメインから受け取る場合もあります。コンピューターでパスワードポリシーを表示するには、ローカルセキュリティポリシーの MMC スナップイン (secpol.msc) を使用します。