Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden der Passwortrichtlinie für SQL-Server-Anmeldungen bei RDS für SQL Server
Amazon RDS ermöglicht Ihnen, die Passwortrichtlinie für Ihre Amazon-RDS-DB-Instance festzulegen, auf der Microsoft SQL Server ausgeführt wird. Verwenden Sie diese Richtlinie, um die Komplexität, Länge und Sperranforderungen für Anmeldungen festzulegen, die die SQL-Server-Authentifizierung zur Authentifizierung bei Ihrer DB-Instance nutzen.
## Wichtige Begriffe
**Anmeldung**
In SQL Server wird ein Prinzipal auf Serverebene, der sich bei einer Datenbank-Instance authentifizieren kann, als **Anmeldung** bezeichnet. Bei anderen Datenbank-Engines wird dieser Prinzipal möglicherweise als *Benutzer* bezeichnet. In RDS für SQL Server kann eine Anmeldung mithilfe der SQL-Server-Authentifizierung oder der Windows-Authentifizierung authentifiziert werden.
**SQL-Server-Anmeldung**
Eine Anmeldung, die einen Benutzernamen und ein Passwort zur Authentifizierung mithilfe der SQL-Server-Authentifizierung verwendet, ist eine SQL-Server-Anmeldung. Die Passwortrichtlinie, die Sie mittels DB-Parameter konfigurieren, gilt nur für SQL-Server-Anmeldungen.
**Windows-Anmeldung**
Eine Anmeldung, die auf einem Windows-Prinzipal basiert und mithilfe der Windows-Authentifizierung authentifiziert wird, ist eine Windows-Anmeldung. Sie können die Passwortrichtlinie für Ihre Windows-Anmeldungen in Active Directory konfigurieren. Weitere Informationen finden Sie unter [Arbeiten mit Active Directory mit RDS für SQL Server](User.SQLServer.ActiveDirectoryWindowsAuth.md).
## Aktivieren und Deaktivieren der Richtlinie für die jeweilige Anmeldung
Jede SQL-Server-Anmeldung hat Flags für `CHECK_POLICY` und `CHECK_EXPIRATION`. Standardmäßig werden neue Anmeldungen mit `CHECK_POLICY` festgelegt auf `ON` und `CHECK_EXPIRATION`festgelegt auf `OFF` erstellt.
Wenn `CHECK_POLICY` für eine Anmeldung aktiviert ist, wird in RDS für SQL Server das Passwort anhand der Komplexitäts- und Mindestlängenanforderungen überprüft. Gegebenenfalls gelten die Sperrungsrichtlinien. Beispiel für eine T-SQL-Anweisung zum Aktivieren von `CHECK_POLICY` und `CHECK_EXPIRATION`:
```
ALTER LOGIN [master_user] WITH CHECK_POLICY = ON, CHECK_EXPIRATION = ON;
```
Wenn `CHECK_EXPIRATION` aktiviert ist, unterliegen Passwörter den Richtlinien für das Passwortalter. T-SQL-Anweisung, mit der überprüft wird, ob `CHECK_POLICY` und `CHECK_EXPIRATION` festgelegt wurden:
```
SELECT name, is_policy_checked, is_expiration_checked FROM sys.sql_logins;
```
## Parameter für die Passwortrichtlinie
Alle Parameter für die Passwortrichtlinie sind dynamisch und erfordern keinen DB-Neustart, damit sie wirksam werden. In der folgenden Tabelle sind die DB-Parameter aufgeführt, die Sie festlegen können, um die Passwortrichtlinie für SQL-Server-Anmeldungen zu ändern:
****
| DB-Parameter | Beschreibung | Zulässige Werte | Standardwert |
| --- | --- | --- | --- |
| rds.password\$1complexity\$1enabled | Beim Erstellen oder Ändern von Passwörtern für SQL-Server-Anmeldungen müssen die Anforderungen an die Passwortkomplexität erfüllt sein. Die folgenden Einschränkungen müssen erfüllt sein: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.PasswordPolicy.Using.html) | 0, 1 | 0 |
| rds.password\$1min\$1length | Die Mindestanzahl von Zeichen, die ein Passwort für eine SQL-Server-Anmeldung benötigt. | 0–14 | 0 |
| rds.password\$1min\$1age | Die Mindestanzahl von Tagen, die ein SQL-Server-Anmeldepasswort verwendet werden muss, bevor der Benutzer es ändern kann. Passwörter können sofort geändert werden, wenn sie auf 0 festgelegt sind. | 0–998 | 0 |
| rds.password\$1max\$1age | Die maximale Anzahl von Tagen, die ein SQL-Server-Anmeldepasswort verwendet werden kann. Danach muss der Benutzer es ändern. Passwörter laufen nie ab, wenn sie auf 0 festgelegt sind. | 0–999 | 42 |
| rds.password\$1lockout\$1threshold | Die Anzahl aufeinanderfolgender fehlgeschlagener Anmeldeversuche, die dazu führen, dass eine SQL-Server-Anmeldung gesperrt wird. | 0–999 | 0 |
| rds.password\$1lockout\$1duration | Die Anzahl der Minuten, die eine gesperrte SQL-Server-Anmeldung warten muss, bevor sie entsperrt wird. | 1–60 | 10 |
| rds.password\$1lockout\$1reset\$1counter\$1after | Die Anzahl der Minuten, die nach einem fehlgeschlagenen Anmeldeversuch vergehen müssen, bis der Zähler für fehlgeschlagene Anmeldeversuche auf 0 zurückgesetzt wird. | 1–60 | 10 |
**Anmerkung**
Weitere Informationen zur SQL-Server-Passwortrichtlinie finden Sie unter [Passwortrichtlinie](https://learn.microsoft.com/en-us/sql/relational-databases/security/password-policy).
Die Richtlinien für die Komplexität und Mindestlänge von Passwörtern gelten auch für DB-Benutzer in eingebundenen Datenbanken. Weitere Informationen finden Sie unter [Eingebundene Datenbanken](https://learn.microsoft.com/en-us/sql/relational-databases/databases/contained-databases).
Die folgenden Einschränkungen gelten für die Parameter der Passwortrichtlinie:
+ Der Parameter `rds.password_min_age` muss kleiner als `rds.password_max_age parameter` sein, sofern `rds.password_max_age` nicht auf 0 festgelegt ist.
+ Der Parameter `rds.password_lockout_reset_counter_after` muss kleiner als oder gleich dem Parameter `rds.password_lockout_duration` sein.
+ Wenn `rds.password_lockout_threshold` auf 0 festgelegt ist, gelten `rds.password_lockout_duration` und `rds.password_lockout_reset_counter_after` nicht.
### Überlegungen zu vorhandenen Anmeldungen
Nach der Änderung der Passwortrichtlinie für eine Instance werden vorhandene Passwörter für Anmeldungen **nicht** rückwirkend anhand der neuen Komplexitäts- und Längenanforderungen von Passwörtern bewertet. Es werden nur neue Passwörter anhand der neuen Richtlinie validiert.
SQL Server **bewertet** vorhandene Passwörter hinsichtlich ihrer Altersanforderungen.
Es ist möglich, dass Passwörter sofort ablaufen, sobald eine Passwortrichtlinie geändert wurde. Wenn beispielsweise für eine Anmeldung `CHECK_EXPIRATION` aktiviert ist, das Passwort zuletzt vor 100 Tagen geändert wurde und Sie den Parameter `rds.password_max_age` auf 5 Tage festlegen, läuft das Passwort sofort ab, sodass das Anmeldepasswort beim nächsten Anmeldeversuch geändert werden muss.
**Anmerkung**
RDS für SQL Server unterstützt keine Passwortverlaufsrichtlinien. Verlaufsrichtlinien verhindern, dass Anmeldungen zuvor benutzte Passwörter wiederverwenden.
### Überlegungen zu Multi-AZ-Bereitstellungen
Die Zähler für fehlgeschlagene Anmeldeversuche und die Sperrstatus für Multi-AZ-Instances werden nicht zwischen den Knoten repliziert. Falls eine Anmeldung beim Failover einer Multi-AZ-Instance gesperrt wird, kann es vorkommen, dass die Anmeldung auf dem neuen Knoten bereits entsperrt ist.
# Überlegungen zu Passwörtern für die Masteranmeldung
Wenn Sie eine DB-Instance von RDS für SQL Server erstellen, wird das Masterbenutzerpasswort nicht anhand der Passwortrichtlinie bewertet. Ein neues Masterpasswort wird auch nicht anhand des Passworts bewertet, wenn Vorgänge für den Masterbenutzer ausgeführt werden, insbesondere beim Festlegen von `MasterUserPassword` im Befehl `ModifyDBInstance`. In beiden Fällen können Sie ein Passwort für den Masterbenutzer festlegen, das zwar nicht Ihrer Passwortrichtlinie entspricht, aber der Vorgang kann trotzdem erfolgreich ausgeführt werden. Wenn die Richtlinie nicht erfüllt wird, versucht RDS, ein RDS-Ereignis auszulösen, und gibt die Empfehlung, ein sicheres Passwort festzulegen. Achten Sie darauf, nur sichere Passwörter für den Masterbenutzer zu verwenden.
RDS versucht, die folgenden Ereignismeldungen zu generieren, wenn das Masterbenutzerpasswort nicht den Anforderungen der Passwortrichtlinie entspricht:
+ Der Masterbenutzer wurde erstellt, aber das Passwort erfüllt nicht die Anforderungen der Mindestlänge Ihrer Passwortrichtlinie. Erwägen Sie die Verwendung eines stärkeren Passworts.
+ Der Masterbenutzer wurde erstellt, aber das Passwort erfüllt nicht die Komplexitätsanforderungen Ihrer Passwortrichtlinie. Erwägen Sie die Verwendung eines stärkeren Passworts.
+ Das Masterbenutzerpasswort wurde zurückgesetzt, aber das Passwort erfüllt nicht die Anforderungen der Mindestlänge Ihrer Passwortrichtlinie. Erwägen Sie die Verwendung eines stärkeren Passworts.
+ Das Masterbenutzerpasswort wurde zurückgesetzt, aber das Passwort erfüllt nicht die Komplexitätsanforderungen Ihrer Passwortrichtlinie. Erwägen Sie die Verwendung eines stärkeren Passworts.
Standardmäßig werden die Parameter `CHECK_POLICY` und `CHECK_EXPIRATION` bei der Erstellung des Masterbenutzers auf `OFF` festgelegt. Um die Passwortrichtlinie auf den Masterbenutzer anzuwenden, müssen Sie diese Flags nach der Erstellung der DB-Instance manuell für den Masterbenutzer aktivieren. Nachdem Sie diese Flags aktiviert haben, ändern Sie das Masterbenutzerpasswort direkt in SQL Server (z. B. über T-SQL-Anweisungen oder SSMS), um das neue Passwort anhand der Passwortrichtlinie zu validieren.
**Anmerkung**
Wenn der Masterbenutzer gesperrt wird, können Sie ihn entsperren, indem Sie das Masterbenutzerpasswort mithilfe des Befehls `ModifyDBInstance` zurücksetzen.
## Ändern des Master-Benutzerpassworts
Sie können das Masterbenutzerpasswort mit dem Befehl [ModifyDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) ändern.
**Anmerkung**
Wenn Sie das Masterbenutzerpasswort zurücksetzen, setzt RDS verschiedene Berechtigungen des Masterbenutzers zurück, sodass dieser möglicherweise bestimmte Berechtigungen verliert. Durch das Zurücksetzen des Masterbenutzerpassworts wird auch der Masterbenutzer entsperrt, sofern dieser gesperrt war.
RDS validiert das neue Masterbenutzerpasswort und versucht, ein RDS-Ereignis auszulösen, wenn das Passwort nicht der Richtlinie entspricht. RDS legt das Passwort fest, auch wenn es nicht die Passwortrichtlinie erfüllt.