Condividi tramite

Criteri password

  • Articolo

SQL Server può fare uso di meccanismi dei criteri password di Windows. I criteri password si applicano a un account di accesso che usa l'autenticazione SQL Server e a un utente del database indipendente con password.

SQL Server può applicare gli stessi criteri di complessità e scadenza usati in Windows alle password usate all'interno di SQL Server. Questa funzionalità dipende dall'API NetValidatePasswordPolicy .

Complessità delle password

I criteri di complessità delle password sono progettati per fungere da deterrente agli attacchi a forza bruta aumentando il numero di password possibili. Quando vengono applicati i criteri di complessità delle password, le nuove password devono soddisfare i requisiti seguenti:

  • Non devono contenere il nome account dell'utente.

  • Devono essere composte da almeno otto caratteri.

  • Devono contenere caratteri di almeno tre delle quattro categorie seguenti:

    • Lettere maiuscole dell'alfabeto latino (dalla A alla Z)

    • Lettere minuscole dell'alfabeto latino (dalla a alla z)

    • Numeri in base 10 (da 0 a 9)

    • Caratteri non alfanumerici, ad esempio punto esclamativo (!), dollaro ($), simbolo di cancelletto (#) o percentuale (%).

Le password possono contenere fino a 128 caratteri. È consigliabile utilizzare password più lunghe e complesse possibile.

Scadenza delle password

I criteri di scadenza delle password consentono di gestire l'intervallo di validità di una password. Quando SQL Server applica i criteri di scadenza delle password, gli utenti vengono ricordati di modificare le password precedenti e gli account con password scadute sono disabilitati.

Applicazione dei criteri

L'applicazione dei criteri password può essere configurata separatamente per ogni account di accesso di SQL Server. Usare ALTER LOGIN (Transact-SQL) per configurare le opzioni dei criteri password di un account di accesso SQL Server. Le regole seguenti sono valide per la configurazione dell'applicazione dei criteri password:

  • Quando l'opzione CHECK_POLICY viene impostata su ON, si ottiene il comportamento seguente:

    • Anche CHECK_EXPIRATION viene impostato su ON, a meno che non lo si imposti esplicitamente su OFF.

    • La cronologia delle password viene inizializzata con il valore dell'hash della password corrente.

    • Vengono inoltre abilitate le opzioniDurata blocco account, Soglia di blocchi dell'accounte Reimposta blocco account dopo .

  • Quando l'opzione CHECK_POLICY viene impostata su OFF, si ottiene il comportamento seguente:

    • Anche l'opzione CHECK_EXPIRATION viene impostata su OFF.

    • Viene cancellata la cronologia delle password.

    • Viene reimpostato il valore di lockout_time .

Alcune combinazioni di criteri non sono supportate.

  • Se si specifica MUST_CHANGE, è necessario impostare CHECK_EXPIRATION e CHECK_POLICY su ON. In caso contrario, l'istruzione non verrà eseguita correttamente.

  • Se l'opzione CHECK_POLICY è impostata su OFF, non è possibile impostare CHECK_EXPIRATION su ON. Un'istruzione ALTER LOGIN che presenta questa combinazione di opzioni avrà esito negativo.

L'impostazione di CHECK_POLICY su ON impedirà la creazione di password:

  • Null o vuote

  • Equivalenti al nome del computer o dell'account di accesso

  • Equivalenti a parole quali "password", "admin", "administrator", "sa", "sysadmin"

I criteri di sicurezza possono essere impostati in Windows o essere ricevuti dal dominio. Per visualizzare i criteri password nel computer, usare lo snap-in MMC Criteri di sicurezza locali (secpol.msc).

CREATE LOGIN (Transact-SQL)

ALTER LOGIN (Transact-SQL)

CREATE USER (Transact-SQL)

ALTER USER (Transact-SQL)

Creare un account di accesso

Creazione di un utente di database

Contenuto correlato

Password complesse