Выбор режима проверки подлинности
Область применения: SQL Server
Во время установки необходимо выбрать режим проверки подлинности для ядро СУБД. Существует два возможных режима: проверка подлинности Windows и смешанный режим. Режим проверки подлинности Windows включает проверку подлинности Windows и отключает проверку подлинности SQL Server. Смешанный режим включает проверку подлинности Windows и проверку подлинности SQL Server. Проверка подлинности Windows всегда доступна и не может быть отключена.
Настройка режима проверки подлинности
Если во время установки выбран режим смешанной проверки подлинности (SQL Server и режим проверки подлинности Windows), необходимо указать и подтвердить надежный пароль для встроенной учетной записи sa
системного администратора SQL Server. Учетная sa
запись подключается с помощью проверки подлинности SQL Server.
При выборе проверки подлинности Windows во время установки программа установки создает sa
учетную запись для проверки подлинности SQL Server, но она отключена. Если вы позже измените проверку подлинности в смешанном режиме и хотите использовать sa
учетную запись, необходимо включить учетную запись. Любую учетную запись Windows или SQL Server можно настроить в качестве системного администратора. sa
Так как учетная запись хорошо известна и часто нацелена на вредоносных пользователей, не включите sa
учетную запись, если приложение не требует его. Никогда не устанавливайте пустой или слабый пароль для учетной sa
записи. Чтобы изменить режим проверки подлинности Windows на смешанный режим проверки подлинности и использовать проверку подлинности SQL Server, см. раздел "Изменить режим проверки подлинности сервера".
Подключение через проверку подлинности Windows
Когда пользователь подключается через учетную запись пользователя Windows, SQL Server проверяет имя и пароль учетной записи с помощью токена субъекта Windows в операционной системе. Это означает, что удостоверение пользователя было подтверждено Windows. SQL Server не запрашивает пароль и не выполняет проверку удостоверений. Проверка подлинности Windows — это режим проверки подлинности по умолчанию и гораздо безопаснее, чем проверка подлинности SQL Server. Проверка подлинности Windows использует new Technology LAN Manager (NTLM) или протокол безопасности Kerberos, обеспечивает применение политики паролей в отношении проверки сложности для надежных паролей, обеспечивает поддержку блокировки учетной записи и поддерживает истечение срока действия пароля. Соединение, установленное с помощью проверки подлинности Windows, иногда называется доверительным соединением, поскольку SQL Server доверяет учетным данным, предоставляемым Windows.
Сведения о настройке Kerberos см. в разделе "Регистрация имени субъекта-службы" для подключений Kerberos.
С помощью проверки подлинности Windows группы Windows можно создавать на уровне домена, а имя входа можно создать на SQL Server для всей группы. Управление доступом на уровне домена может упростить администрирование учетных записей.
Внимание
По возможности используйте аутентификацию Windows.
Подключение через проверку подлинности SQL Server
При использовании проверки подлинности SQL Server имена входа создаются в SQL Server, которые не основаны на учетных записях пользователей Windows. Имя пользователя и пароль создаются и хранятся в SQL Server. Пользователи, подключающиеся с помощью проверки подлинности SQL Server, должны предоставлять свои учетные данные (имя входа и пароль) при каждом подключении. При использовании проверки подлинности SQL Server необходимо задать надежные пароли для всех учетных записей SQL Server. Рекомендации по выбору надежного пароля см. в разделе Strong Passwords.
Для входа SQL Server доступны три необязательные политики паролей.
Пользователь должен сменить пароль при следующем входе
Требует, чтобы пользователь сменил пароль при следующем подключении. Возможность изменить пароль предоставляется SQL Server Management Studio. Другие разработчики программного обеспечения компании должны предоставить эту функцию, если этот параметр используется.
Задать срок окончания действия пароля
Политика максимального возраста пароля компьютера применяется для входа в SQL Server.
Требовать использование политики паролей
Политики паролей Windows компьютера применяются для входа SQL Server. Это включает длину и сложность паролей. Эта функция зависит от
NetValidatePasswordPolicy
API, который доступен только в Windows Server 2003 и более поздних версиях.
Определение политик паролей на локальном компьютере
В меню Пуск выберите Выполнить.
В диалоговом окне "Запуск" введите secpol.msc и нажмите кнопку "ОК".
В приложении "Локальные параметры безопасности" разверните раздел "Параметры безопасности", разверните раздел "Политики учетных записей" и выберите "Политика паролей".
Политики паролей будут описаны в панели результатов.
Недостатки проверки подлинности SQL Server
Если пользователь является пользователем домена Windows, у которого есть имя входа и пароль для Windows, он по-прежнему должен предоставить другой (SQL Server) имя входа и пароль для подключения. Многим пользователям сложно помнить несколько имен входа и паролей. Необходимость предоставлять учетные данные SQL Server каждый раз, когда пользователь подключается к базе данных, может раздражать.
Проверка подлинности SQL Server не может использовать протокол безопасности Kerberos.
Windows предлагает дополнительные политики паролей, недоступные для входа SQL Server.
Зашифрованный пароль для входа проверки подлинности SQL Server должен передаваться по сети во время подключения. Некоторые приложения, которые устанавливают соединение автоматически, сохраняют пароль на клиенте. Эти дополнительные точки, на которые может быть направлена атака.
Преимущества проверки подлинности SQL Server
Позволяет SQL Server поддерживать старые приложения и приложения, предоставляемые третьими сторонами, которым требуется проверка подлинности SQL Server.
Позволяет SQL Server поддерживать среды с смешанными операционными системами, где все пользователи не проходят проверку подлинности в домене Windows.
Позволяет пользователям устанавливать соединения из неизвестных или недоверенных доменов. Например, приложение, в котором клиенты подключаются с помощью назначенных учетных данных SQL Server для получения состояния их заказов.
Позволяет SQL Server поддерживать веб-приложения, в которых пользователи создают собственные удостоверения.
Позволяет разработчикам программного обеспечения распространять свои приложения с помощью сложной иерархии разрешений на основе известных, заранее установленных учетных данных SQL Server.
Примечание.
Использование проверки подлинности SQL Server не ограничивает разрешения локальных администраторов на компьютере, на котором установлен SQL Server.