Политика паролей
SQL Server поддерживается использование механизмов политики паролей Windows. Политика паролей применяется к имени входа, которое использует проверку подлинности SQL Server , и к пользователю автономной базы данных с паролем.
SQL Server могут применяться политики сложности и истечения срока действия, которые применяются в Windows к паролям, используемым в SQL Server. Эти возможности построены на API-интерфейсе NetValidatePasswordPolicy .
Сложность пароля
Политика сложности паролей позволяет отражать атаки, использующие простой перебор, путем увеличения числа возможных паролей. Если применяется политика сложности паролей, новые пароли должны удовлетворять следующим требованиям.
Пароль не содержит имя учетной записи пользователя.
Длина пароля составляет не менее восьми символов.
Пароль содержит символы, соответствующие трем из следующих четырех категорий:
прописные латинские буквы (А-Z)
строчные латинские буквы (a-z)
цифры (0-9)
Символы, отличные от буквенно-цифровых: восклицательный знак (!), знак доллара ($), решетка (#) или знак процента (%).
Пароли могут иметь длину до 128 символов. Рекомендуется использовать максимально длинные и сложные пароли.
Истечение срока действия пароля
Политика истечения срока действия паролей используется для управления продолжительностью действия пароля. Когда SQL Server применяет политику истечения срока действия паролей, пользователи получают уведомления о необходимости изменения старых паролей, а учетные записи с истекшим сроком действия пароля отключаются.
Применение политики
Применение политики паролей можно настроить отдельно для каждого имени входа SQL Server. Используйте инструкцию ALTER LOGIN (Transact-SQL), чтобы настроить параметры политики паролей SQL Server имени входа. Для настройки принудительного применения политики паролей действуют следующие правила.
При переключении параметра CHECK_POLICY на значение ON происходит следующее:
параметр CHECK_EXPIRATION также изменяется на ON, если он не будет прямо изменен на OFF;
Журнал паролей инициализируется значением хэша текущего пароля.
Включены также параметрыпродолжительность существования блокировки учетной записи, пороговое значение блокировки учетной записии сброс счетчика блокировки учетной записи после .
При переключении параметра CHECK_POLICY в значение OFF происходит следующее:
Параметр CHECK_EXPIRATION также получает значение OFF.
Журнал паролей очищается.
Значение параметра
lockout_timeсбрасывается.
Некоторые сочетания параметров политик не поддерживаются.
Если задан параметр MUST_CHANGE, то параметры CHECK_EXPIRATION и CHECK_POLICY должны иметь значение ON. В противном случае выполнение инструкции приведет к ошибке.
Если значение параметра CHECK_POLICY установлено равным OFF, то параметр CHECK_EXPIRATION не может иметь значения ON. Выполнение инструкции ALTER LOGIN с таким сочетанием параметров завершится ошибкой.
При установке параметра CHECK_POLICY = ON блокируется создание следующих паролей:
пустых или неопределенных;
совпадающих с именем компьютера или именем входа;
представляющих собой любую из следующих строк: "password", "admin", "administrator", "sa", "sysadmin".
Политика безопасности может быть настроена в Windows или получена из домена. Для просмотра политики паролей на компьютере используется оснастка консоли управления "Локальная политика безопасности" (secpol.msc).
Связанные задачи
Создание пользователя базы данных