Политика паролей
При работе в операционной системе Windows Server 2003 или более поздних версий SQL Server может использовать механизмы политики паролей Windows.
В SQL Server могут применяться те же политики сложности и истечения срока действия, какие применяются в Windows Server 2003 к паролям, используемым в SQL Server. Эту возможность обеспечивает API-интерфейс NetValidatePasswordPolicy, доступный только в Windows Server 2003 и более поздних версий.
Сложность пароля
Политика сложности паролей позволяет отражать атаки, использующие простой перебор, путем увеличения числа возможных паролей. Если применяется политика сложности паролей, новые пароли должны удовлетворять следующим требованиям.
Пароль не должен содержать имя учетной записи пользователя или ее часть. Часть имени учетной записи определяется как три или более последовательных алфавитно-цифровых символа, ограниченных с обеих сторон пробельными символами (пробелом, табуляцией, переводом строки) или любым из следующих символов: запятая (,), точка (.), дефис (-), подчеркивание (_) или решетка (#).
Длина пароля составляет не менее восьми символов.
Пароль содержит символы, соответствующие трем из следующих четырех категорий:
прописные латинские буквы (А-Z)
строчные латинские буквы (a-z)
цифры (0-9)
следующие символы: восклицательный знак (!), знак доллара ($), решетка (#) или знак процента (%).
Пароли могут состоять не более чем из 128 символов. Рекомендуется использовать максимально длинные и сложные пароли.
Истечение срока действия пароля
Политика истечения срока действия паролей используется для управления продолжительностью действия пароля. Когда SQL Server применяет политику истечения срока действия паролей, пользователи получают уведомления о необходимости изменения старых паролей, а учетные записи с истекшим сроком действия пароля отключаются.
Применение политики
Применение политики паролей можно настроить отдельно для каждого имени входа SQL Server. Чтобы настроить параметры политики паролей для имени входа SQL Server, выполните инструкцию ALTER LOGIN (Transact-SQL). Для настройки принудительного применения политики паролей действуют следующие правила.
При переключении параметра CHECK_POLICY на значение ON происходит следующее:
параметр CHECK_EXPIRATION также изменяется на ON, если он не будет прямо изменен на OFF;
журнал паролей инициализируется значением хэша текущего пароля.
При переключении параметра CHECK_POLICY в значение OFF происходит следующее:
параметр CHECK_EXPIRATION также получает значение OFF;
журнал паролей очищается;
сбрасывается значение параметра lockout_time.
Некоторые сочетания параметров политик не поддерживаются.
При указании параметра MUST_CHANGE значения CHECK_EXPIRATION и CHECK_POLICY должны быть равны ON. В противном случае выполнение инструкции завершится ошибкой.
Если значение CHECK_POLICY равно OFF, то значение CHECK_EXPIRATION не может быть равно ON. Выполнение инструкции ALTER LOGIN с таким сочетанием параметров завершится ошибкой.
.gif "Важное примечание")
Важно!Параметры CHECK_EXPIRATION и CHECK_POLICY применяются только в Windows Server 2003 и более поздних версиях.
Важно!В Windows Server 2003 существует известная неполадка, которая может помешать сбросу счетчика неверных паролей после достижения значения LockoutThreshold. Это может вызвать немедленную блокировку при последующих неудачных попытках входа в систему. Сброс счетчика неверных паролей можно произвести вручную, на короткое время установив значение CHECK_POLICY = OFF, а затем установив значение CHECK_POLICY = ON.
При работе SQL Server в среде Windows 2000 при установке параметра CHECK_POLICY = ON блокируется создание следующих паролей:
пустых или неопределенных;
совпадающих с именем компьютера или именем входа;
представляющих собой любую из следующих строк: «password», «admin», «administrator», «sa» или «sysadmin».
Политика безопасности может быть настроена в Windows или получена из домена. Для просмотра политики паролей на компьютере воспользуйтесь оснасткой консоли управления «Локальная политика безопасности» (secpol.msc).
См. также