Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden der Kennwortrichtlinie für SQL Server-Logins auf RDS for SQL Server
Mit Amazon RDS können Sie die Passwortrichtlinie für Ihre Amazon RDS-DB-Instance festlegen, auf der Microsoft SQL Server ausgeführt wird. Verwenden Sie diese Option, um die Komplexität, Länge und Sperranforderungen für Anmeldungen festzulegen, die die SQL Server-Authentifizierung zur Authentifizierung bei Ihrer DB-Instance verwenden.
Wichtige Begriffe
- Anmeldung
-
In SQL Server wird ein Prinzipal auf Serverebene, der sich bei einer Datenbankinstanz authentifizieren kann, als Anmeldung bezeichnet. Andere Datenbank-Engines bezeichnen diesen Prinzipal möglicherweise als Benutzer. In RDS für SQL Server kann eine Anmeldung mithilfe der SQL Server-Authentifizierung oder der Windows-Authentifizierung authentifiziert werden.
- SQL Server-Anmeldung
-
Eine Anmeldung, die einen Benutzernamen und ein Passwort zur Authentifizierung mithilfe der SQL Server-Authentifizierung verwendet, ist eine SQL Server-Anmeldung. Die Kennwortrichtlinie, die Sie über DB-Parameter konfigurieren, gilt nur für SQL Server-Logins.
- Windows-Anmeldung
-
Eine Anmeldung, die auf einem Windows-Prinzipal basiert und sich mithilfe der Windows-Authentifizierung authentifiziert, ist eine Windows-Anmeldung. Sie können die Kennwortrichtlinie für Ihre Windows-Anmeldungen in Active Directory konfigurieren. Weitere Informationen finden Sie unter Arbeiten mit Active Directory mit RDS für SQL Server.
Richtlinie für jede Anmeldung aktivieren und deaktivieren
Jede SQL Server-Anmeldung hat Flags für CHECK_POLICY
undCHECK_EXPIRATION
. Standardmäßig werden neue Logins mit CHECK_POLICY
set to ON
und CHECK_EXPIRATION
set to OFF
erstellt.
Wenn CHECK_POLICY
es für eine Anmeldung aktiviert ist, überprüft RDS for SQL Server das Passwort anhand der Anforderungen an Komplexität und Mindestlänge. Es gelten auch Sperrrichtlinien. Ein Beispiel für eine T-SQL-Anweisung zum Aktivieren CHECK_POLICY
und: CHECK_EXPIRATION
ALTER LOGIN [master_user] WITH CHECK_POLICY = ON, CHECK_EXPIRATION = ON;
Wenn diese Option aktiviert CHECK_EXPIRATION
ist, unterliegen Passwörter den Richtlinien für das Alter von Passwörtern. Die T-SQL-Anweisung, mit der überprüft werden soll, ob CHECK_POLICY
und gesetzt CHECK_EXPIRATION
sind:
SELECT name, is_policy_checked, is_expiration_checked FROM sys.sql_logins;
Parameter für die Passwortrichtlinie
Alle Kennwortrichtlinienparameter sind dynamisch und erfordern keinen DB-Neustart, um wirksam zu werden. In der folgenden Tabelle sind die DB-Parameter aufgeführt, die Sie festlegen können, um die Kennwortrichtlinie für SQL Server-Logins zu ändern:
DB-Parameter | Beschreibung | Zulässige Werte | Standardwert |
---|---|---|---|
rds.password_complexity_enabled | Beim Erstellen oder Ändern von Kennwörtern für SQL Server-Logins müssen die Anforderungen an die Kennwortkomplexität erfüllt sein. Die folgenden Einschränkungen müssen erfüllt sein:
|
0,1 | 0 |
rds.password_min_length | Die Mindestanzahl an Zeichen, die ein Kennwort für eine SQL Server-Anmeldung benötigt. | 0-14 | 0 |
rds.password_min_age | Die Mindestanzahl von Tagen, für die ein SQL Server-Anmeldekennwort verwendet werden muss, bevor der Benutzer es ändern kann. Passwörter können sofort geändert werden, wenn sie auf 0 gesetzt sind. | 0-998 | 0 |
rds.password_max_age | Die maximale Anzahl von Tagen, für die ein SQL Server-Anmeldekennwort verwendet werden kann. Danach muss der Benutzer es ändern. Passwörter laufen nie ab, wenn sie auf 0 gesetzt sind. |
0-999 | 42 |
rds.password_lockout_threshold | Die Anzahl aufeinanderfolgender fehlgeschlagener Anmeldeversuche, die dazu führen, dass eine SQL Server-Anmeldung gesperrt wird. | 0-999 | 0 |
rds.password_lockout_duration | Die Anzahl der Minuten, die ein gesperrter SQL Server-Anmeldename warten muss, bevor er entsperrt wird. | 1—60 | 10 |
rds.password_lockout_reset_counter_after | Die Anzahl der Minuten, die nach einem fehlgeschlagenen Anmeldeversuch vergehen müssen, bis der Zähler für fehlgeschlagene Anmeldeversuche auf 0 zurückgesetzt wird. | 1—60 | 10 |
Anmerkung
Weitere Informationen zur SQL Server-Passwortrichtlinie finden Sie unter Kennwortrichtlinie
Die Richtlinien für Kennwortkomplexität und Mindestlänge gelten auch für DB-Benutzer in geschlossenen Datenbanken. Weitere Informationen finden Sie unter Enthaltene Datenbanken
Die folgenden Einschränkungen gelten für die Kennwortrichtlinienparameter:
-
Der
rds.password_min_age
Parameter muss kleiner als seinrds.password_max_age parameter
, sofern er nicht auf 0 gesetztrds.password_max_age
ist -
Der
rds.password_lockout_reset_counter_after
Parameter muss kleiner oder gleich demrds.password_lockout_duration
Parameter sein. -
Es
rds.password_lockout_threshold
ist auf 0 gesetztrds.password_lockout_duration
und giltrds.password_lockout_reset_counter_after
nicht.
Überlegungen zu bestehenden Logins
Nach der Änderung der Kennwortrichtlinie für eine Instanz werden bestehende Kennwörter für Anmeldungen nicht rückwirkend anhand der neuen Anforderungen an Komplexität und Länge von Passwörtern bewertet. Nur neue Passwörter werden anhand der neuen Richtlinie validiert.
SQL Server bewertet vorhandene Kennwörter auf ihre Altersanforderungen hin.
Es ist möglich, dass Kennwörter sofort ablaufen, sobald eine Kennwortrichtlinie geändert wurde. Wenn beispielsweise eine Anmeldung CHECK_EXPIRATION
aktiviert wurde und ihr Passwort zuletzt vor 100 Tagen geändert wurde und Sie den rds.password_max_age
Parameter auf 5 Tage setzen, läuft das Passwort sofort ab und der Anmelder muss sein Passwort beim nächsten Anmeldeversuch ändern.
Anmerkung
RDS für SQL Server unterstützt keine Richtlinien für den Kennwortverlauf. Verlaufsrichtlinien verhindern, dass Anmeldungen zuvor verwendete Passwörter wiederverwenden.
Überlegungen zu Multi-AZ-Bereitstellungen
Der Zähler für fehlgeschlagene Anmeldeversuche und der Sperrstatus für Multi-AZ-Instances werden nicht zwischen den Knoten repliziert. Falls eine Anmeldung beim Failover einer Multi-AZ-Instance gesperrt wird, ist es möglich, dass die Anmeldung auf dem neuen Knoten bereits entsperrt ist.