Политика паролейPassword Policy

ОБЛАСТЬ ПРИМЕНЕНИЯ: даSQL Server нетБаза данных SQL Azure нетAzure Synapse Analytics (хранилище данных SQL) нетParallel Data Warehouse APPLIES TO: yesSQL Server noAzure SQL Database noAzure Synapse Analytics (SQL DW) noParallel Data Warehouse

SQL ServerSQL Server поддерживается использование механизмов политики паролей Windows.can use Windows password policy mechanisms. Политика паролей применяется к имени входа, которое использует проверку подлинности SQL ServerSQL Server , и к пользователю автономной базы данных с паролем.The password policy applies to a login that uses SQL ServerSQL Server authentication, and to a contained database user with password.

SQL ServerSQL Server могут применяться политики сложности и истечения срока действия, которые применяются в Windows к паролям, используемым в SQL ServerSQL Server.can apply the same complexity and expiration policies used in Windows to passwords used inside SQL ServerSQL Server. Эти возможности построены на API-интерфейсе NetValidatePasswordPolicy .This functionality depends on the NetValidatePasswordPolicy API.

Примечание

База данных SQLSQL Database принудительно применяет сложность пароля.enforces password complexity. Разделы истечения срока действия и принудительного применения политики паролей не применяются к База данных SQLSQL Database.The password expiration and policy enforcement sections do not apply to База данных SQLSQL Database.

Сложность пароляPassword Complexity

Политика сложности паролей позволяет отражать атаки, использующие простой перебор, путем увеличения числа возможных паролей.Password complexity policies are designed to deter brute force attacks by increasing the number of possible passwords. Если применяется политика сложности паролей, новые пароли должны удовлетворять следующим требованиям.When password complexity policy is enforced, new passwords must meet the following guidelines:

  • Пароль не содержит имя учетной записи пользователя.The password does not contain the account name of the user.

  • Длина пароля составляет не менее восьми символов.The password is at least eight characters long.

  • Пароль содержит символы, соответствующие трем из следующих четырех категорий:The password contains characters from three of the following four categories:

    • прописные латинские буквы (А-Z)Latin uppercase letters (A through Z)

    • строчные латинские буквы (a-z)Latin lowercase letters (a through z)

    • цифры (0-9)Base 10 digits (0 through 9)

    • Символы, отличные от буквенно-цифровых: восклицательный знак (!), знак доллара ($), решетка (#) или знак процента (%).Non-alphanumeric characters such as: exclamation point (!), dollar sign ($), number sign (#), or percent (%).

Пароли могут иметь длину до 128 символов.Passwords can be up to 128 characters long. Рекомендуется использовать максимально длинные и сложные пароли.Use passwords that are as long and complex as possible.

Истечение срока действия пароляPassword Expiration

Политика истечения срока действия паролей используется для управления продолжительностью действия пароля.Password expiration policies are used to manage the lifespan of a password. Когда SQL ServerSQL Server применяет политику истечения срока действия паролей, пользователи получают уведомления о необходимости изменения старых паролей, а учетные записи с истекшим сроком действия пароля отключаются.When SQL ServerSQL Server enforces password expiration policy, users are reminded to change old passwords, and accounts that have expired passwords are disabled.

Применение политикиPolicy Enforcement

Применение политики паролей можно настроить отдельно для каждого имени входа SQL Server.The enforcement of password policy can be configured separately for each SQL Server login. Чтобы настроить параметры политики паролей для имени входа SQL Server, выполните инструкцию ALTER LOGIN (Transact-SQL) .Use ALTER LOGIN (Transact-SQL) to configure the password policy options of a SQL Server login. Для настройки принудительного применения политики паролей действуют следующие правила.The following rules apply to the configuration of password policy enforcement:

  • При переключении параметра CHECK_POLICY на значение ON происходит следующее:When CHECK_POLICY is changed to ON, the following behaviors occur:

    • параметр CHECK_EXPIRATION также изменяется на ON, если он не будет прямо изменен на OFF;CHECK_EXPIRATION is also set to ON unless it is explicitly set to OFF.

    • Журнал паролей инициализируется значением хэша текущего пароля.The password history is initialized with the value of the current password hash.

    • Включены также параметрыпродолжительность существования блокировки учетной записи, пороговое значение блокировки учетной записии сброс счетчика блокировки учетной записи после .Account lockout duration, account lockout threshold, and reset account lockout counter after are also enabled.

  • При переключении параметра CHECK_POLICY в значение OFF происходит следующее:When CHECK_POLICY is changed to OFF, the following behaviors occur:

    • Параметр CHECK_EXPIRATION также получает значение OFF.CHECK_EXPIRATION is also set to OFF.

    • Журнал паролей очищается.The password history is cleared.

    • Значение параметра lockout_time сбрасывается.The value of lockout_time is reset.

Некоторые сочетания параметров политик не поддерживаются.Some combinations of policy options are not supported.

  • Если задан параметр MUST_CHANGE, то параметры CHECK_EXPIRATION и CHECK_POLICY должны иметь значение ON.If MUST_CHANGE is specified, CHECK_EXPIRATION and CHECK_POLICY must be set to ON. В противном случае выполнение инструкции приведет к ошибке.Otherwise, the statement fails.

  • Если значение параметра CHECK_POLICY установлено равным OFF, то параметр CHECK_EXPIRATION не может иметь значения ON.If CHECK_POLICY is set to OFF, CHECK_EXPIRATION cannot be set to ON. Выполнение инструкции ALTER LOGIN с таким сочетанием параметров завершится ошибкой.An ALTER LOGIN statement that has this combination of options will fail.

  • При установке параметра CHECK_POLICY = ON блокируется создание следующих паролей:Setting CHECK_POLICY = ON prevents the creation of passwords that are:

    • пустых или неопределенных;Null or empty

    • совпадающих с именем компьютера или именем входа;Same as name of computer or login

    • представляющих собой любую из следующих строк: "password", "admin", "administrator", "sa", "sysadmin".Any of the following: "password", "admin", "administrator", "sa", "sysadmin"

Политика безопасности может быть настроена в Windows или получена из домена.The security policy might be set in Windows, or might be received from the domain. Для просмотра политики паролей на компьютере используется оснастка консоли управления "Локальная политика безопасности" (secpol.msc).To view the password policy on the computer, use the Local Security Policy MMC snap-in (secpol.msc).

CREATE LOGIN (Transact-SQL)CREATE LOGIN (Transact-SQL)

ALTER LOGIN (Transact-SQL)ALTER LOGIN (Transact-SQL)

CREATE USER (Transact-SQL)CREATE USER (Transact-SQL)

ALTER USER (Transact-SQL)ALTER USER (Transact-SQL)

Создание имени входаCreate a Login

Создание пользователя базы данныхCreate a Database User

Надежные паролиStrong Passwords