Utilizzo dei criteri di password per gli accessi a SQL Server su RDS per SQL Server - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei criteri di password per gli accessi a SQL Server su RDS per SQL Server

Amazon RDS ti consente di impostare la politica delle password per la tua istanza database Amazon RDS che esegue Microsoft SQL Server. Usala per impostare i requisiti di complessità, lunghezza e blocco per gli accessi che utilizzano l'autenticazione di SQL Server per l'autenticazione sulla tua istanza DB.

Termini chiave

Login

In SQL Server, un principale a livello di server che può autenticarsi su un'istanza di database viene definito login. Altri motori di database potrebbero fare riferimento a questo principio come utente. In RDS per SQL Server, un accesso può autenticarsi utilizzando l'autenticazione di SQL Server o l'autenticazione di Windows.

Accesso a SQL Server

Un accesso che utilizza un nome utente e una password per l'autenticazione tramite l'autenticazione di SQL Server è un accesso a SQL Server. La politica di password configurata tramite i parametri DB si applica solo agli accessi di SQL Server.

Accesso a Windows

Un accesso basato su un principio di Windows e autenticato tramite l'autenticazione di Windows è un accesso di Windows. È possibile configurare la politica delle password per gli accessi a Windows in Active Directory. Per ulteriori informazioni, consulta Utilizzo di Active Directory con RDS per SQL Server.

Politica di attivazione e disabilitazione per ogni accesso

Ogni accesso a SQL Server ha contrassegni per e. CHECK_POLICY CHECK_EXPIRATION Per impostazione predefinita, i nuovi accessi vengono creati con CHECK_POLICY set to ON e CHECK_EXPIRATION impostato su. OFF

Se CHECK_POLICY è abilitato per l'accesso, RDS per SQL Server convalida la password in base ai requisiti di complessità e lunghezza minima. Si applicano anche le politiche di blocco. Un esempio di istruzione T-SQL da abilitare CHECK_POLICY e: CHECK_EXPIRATION

ALTER LOGIN [master_user] WITH CHECK_POLICY = ON, CHECK_EXPIRATION = ON;

Se CHECK_EXPIRATION è abilitata, le password sono soggette alle politiche relative all'età delle password. L'istruzione T-SQL per verificare se CHECK_POLICY e CHECK_EXPIRATION sono impostati:

SELECT name, is_policy_checked, is_expiration_checked FROM sys.sql_logins;

Parametri della politica delle password

Tutti i parametri della politica in materia di password sono dinamici e non richiedono il riavvio del DB per avere effetto. La tabella seguente elenca i parametri DB che è possibile impostare per modificare la politica delle password per gli accessi a SQL Server:

Parametro DB Descrizione Valori consentiti Valore predefinito
rds.password_complexity_enabled I requisiti di complessità delle password devono essere soddisfatti durante la creazione o la modifica delle password per gli accessi a SQL Server. È necessario soddisfare i seguenti vincoli:
  • La password deve includere caratteri appartenenti a tre delle seguenti categorie:

    • Lettera minuscola latina (dalla a alla z)

    • Lettera maiuscola latina (dalla A alla Z)

    • Caratteri non alfanumerici come: punto esclamativo (!) , simbolo del dollaro ($), simbolo numerico (#) o percentuale (%).

  • La password non contiene il nome dell'account dell'utente.

0,1 0
rds.password_min_length Il numero minimo di caratteri richiesto in una password per un accesso a SQL Server. 0-14 0
rds.password_min_age È necessario utilizzare il numero minimo di giorni in cui è necessario utilizzare la password di accesso di SQL Server prima che l'utente possa modificarla. Le password possono essere modificate immediatamente se impostate su 0. 0-998 0
rds.password_max_age

È possibile utilizzare il numero massimo di giorni in cui è possibile utilizzare la password di accesso di SQL Server, trascorsi i quali l'utente deve modificarla. Le password non scadono mai se impostate su 0.

0-999 42
rds.password_lockout_threshold Il numero di tentativi di accesso consecutivi non riusciti che causano il blocco di un accesso a SQL Server. 0-999 0
rds.password_lockout_duration Il numero di minuti che un accesso bloccato a SQL Server deve attendere prima di essere sbloccato. 1-60 10
rds.password_lockout_reset_counter_after Il numero di minuti che devono trascorrere dopo un tentativo di accesso fallito prima che il contatore dei tentativi di accesso falliti venga reimpostato su 0. 1-60 10
Nota

Per ulteriori informazioni sulla politica delle password di SQL Server, vedere Politica delle password.

Le politiche relative alla complessità e alla lunghezza minima delle password si applicano anche agli utenti del DB nei database contenuti. Per ulteriori informazioni, vedere Database contenuti.

I seguenti vincoli si applicano ai parametri della politica in materia di password:

  • Il rds.password_min_age parametro deve essere minore dirds.password_max_age parameter, a meno che non rds.password_max_age sia impostato su 0

  • Il rds.password_lockout_reset_counter_after parametro deve essere minore o uguale al rds.password_lockout_duration parametro.

  • rds.password_lockout_thresholdÈ impostato su 0 rds.password_lockout_duration e rds.password_lockout_reset_counter_after non si applica.

Considerazioni sugli accessi esistenti

Dopo aver modificato la politica in materia di password su un'istanza, le password esistenti per gli accessi non vengono valutate retroattivamente rispetto ai nuovi requisiti di complessità e lunghezza delle password. Solo le nuove password vengono convalidate in base alla nuova politica.

SQL Server valuta le password esistenti in base ai requisiti di età.

È possibile che le password scadano immediatamente dopo la modifica dei criteri relativi alle password. Ad esempio, se un accesso è CHECK_EXPIRATION abilitato e la relativa password è stata modificata l'ultima volta 100 giorni fa e si imposta il rds.password_max_age parametro su 5 giorni, la password scade immediatamente e l'utente deve modificare la password al successivo tentativo di accesso.

Nota

RDS per SQL Server non supporta i criteri di cronologia delle password. I criteri di cronologia impediscono agli accessi di riutilizzare le password utilizzate in precedenza.

Considerazioni per le implementazioni Multi-AZ

Il contatore dei tentativi di accesso falliti e lo stato di blocco per le istanze Multi-AZ non si replicano tra i nodi. Nel caso in cui un accesso venga bloccato durante il failover di un'istanza Multi-AZ, è possibile che l'accesso sia già sbloccato sul nuovo nodo.