Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
SQL Server kann die Kennwortrichtlinienmechanismen von Windows verwenden. Die Kennwortrichtlinie gilt für eine Anmeldung, die die SQL Server-Authentifizierung verwendet, und für einen enthaltenen Datenbankbenutzer mit Kennwort.
SQL Server kann die gleiche Komplexität und Ablaufrichtlinien anwenden, die in Windows auf Kennwörter angewendet werden, die in SQL Server verwendet werden. Diese Funktionalität hängt von der NetValidatePasswordPolicy API ab.
Kennwortkomplexität
Kennwortkomplexitätsrichtlinien dienen dazu, Brute-Force-Angriffe abzuschrecken, indem die Anzahl möglicher Kennwörter erhöht wird. Wenn eine Richtlinie zur Kennwortkomplexität erzwungen wird, müssen neue Kennwörter die folgenden Richtlinien erfüllen:
Das Kennwort enthält nicht den Kontonamen des Benutzers.
Das Kennwort ist mindestens acht Zeichen lang.
Das Kennwort enthält Zeichen aus drei der folgenden vier Kategorien:
Lateinische Großbuchstaben (A bis Z)
Lateinische Kleinbuchstaben (a bis z)
Base 10-Ziffern (0 bis 9)
Nicht alphanumerische Zeichen wie: Ausrufezeichen (!), Dollarzeichen ($), Nummernzeichen (#) oder Prozent (%).
Kennwörter können bis zu 128 Zeichen lang sein. Sie sollten Kennwörter verwenden, die so lang und komplex wie möglich sind.
Ablauf des Kennworts
Kennwortablaufrichtlinien werden verwendet, um die Lebensdauer eines Kennworts zu verwalten. Wenn SQL Server eine Kennwortablaufrichtlinie erzwingt, werden Benutzer daran erinnert, alte Kennwörter zu ändern, und Konten, die abgelaufene Kennwörter aufweisen, sind deaktiviert.
richtliniendurchsetzung
Die Erzwingung der Kennwortrichtlinie kann für jede SQL Server-Anmeldung separat konfiguriert werden. Verwenden Sie ALTER LOGIN (Transact-SQL), um die Kennwortrichtlinienoptionen einer SQL Server-Anmeldung zu konfigurieren. Die folgenden Regeln gelten für die Konfiguration der Erzwingung von Kennwortrichtlinien:
Wenn CHECK_POLICY in EIN geändert wird, treten die folgenden Verhaltensweisen auf:
CHECK_EXPIRATION ist auch auf EIN festgelegt, es sei denn, sie ist explizit auf OFF festgelegt.
Der Kennwortverlauf wird mit dem Wert des aktuellen Kennworthashs initialisiert.
Kontosperrdauer, Kontensperrschwellenwert und Zurücksetzen des Kontosperrzählers sind ebenfalls aktiviert.
Wenn CHECK_POLICY in OFF geändert wird, treten die folgenden Verhaltensweisen auf:
CHECK_EXPIRATION ist auch auf "AUS" festgelegt.
Der Kennwortverlauf wird gelöscht.
Der Wert von
lockout_timewird zurückgesetzt.
Einige Kombinationen von Richtlinienoptionen werden nicht unterstützt.
Falls MUST_CHANGE angegeben wird, müssen CHECK_EXPIRATION und CHECK_POLICY auf ON festgelegt werden. Andernfalls erzeugt die Anweisung einen Fehler.
Wenn CHECK_POLICY auf "AUS" festgelegt ist, kann CHECK_EXPIRATION nicht auf "EIN" festgelegt werden. Eine ALTER LOGIN-Anweisung mit dieser Kombination von Optionen schlägt fehl.
Das Festlegen von CHECK_POLICY = ON verhindert die Erstellung von Kennwörtern, die:
Null oder leer
Identisch mit dem Namen des Computers oder der Anmeldung
Eine der folgenden Optionen: "password", "admin", "administrator", "sa", "sysadmin"
Die Sicherheitsrichtlinie kann in Windows festgelegt oder von der Domäne empfangen werden. Um die Kennwortrichtlinie auf dem Computer anzuzeigen, verwenden Sie das MMC-Snap-In für lokale Sicherheitsrichtlinien (secpol.msc).
Verwandte Aufgaben
LOGIN ERSTELLEN (Transact-SQL)
ÄNDERN ANMELDUNG (Transact-SQL)
Erstellen eines Datenbankbenutzers