Kennwortrichtlinie

Beim Ausführen unter Windows Server 2003 oder höheren Versionen können von SQL Server die Kennwortrichtlinien-Mechanismen von Windows verwendet werden.

Von SQL Server können dieselbe Komplexität und dieselben Ablaufrichtlinien angewendet werden, die in Windows Server 2003 für in SQL Server verwendete Kennwörter verwendet werden. Diese Funktionalität hängt von der NetValidatePasswordPolicy-API ab, die nur unter Windows Server 2003 oder höher verfügbar ist.

Kennwortkomplexität

Richtlinien zur Kennwortkomplexität werden als Maßnahme gegen Brute Force-Angriffe entworfen. Dabei wird die Anzahl der möglichen Kennwörter erhöht. Wenn eine Richtlinie zur Kennwortkomplexität erzwungen wird, müssen neue Kennwörter die folgenden Richtlinien erfüllen:

  • Das Kennwort enthält weder den ganzen noch Teile des Kontonamens des Benutzers. Als Teil eines Kontonamens werden drei oder mehr aufeinander folgende alphanumerische Zeichen definiert, die an beiden Enden durch Leerraum (wie z. B. Leerzeichen, Tabulatoren und Wagenrücklauf) oder eines der folgenden Zeichen begrenzt werden: Komma (,), Punkt (.), Bindestrich (-), Unterstrich (_) oder Nummernzeichen (#).

  • Das Kennwort ist wenigstens acht Zeichen lang.

  • Das Kennwort enthält Zeichen aus drei der folgenden vier Kategorien:

    • Lateinische Großbuchstaben (A - Z)

    • Lateinische Kleinbuchstaben (a - z)

    • 10 Grundziffern (0 - 9)

    • Nicht alphanumerische Zeichen, wie z. B.: Ausrufezeichen (!), Dollarzeichen ($), Nummernzeichen (#) oder Prozentzeichen (%)

Kennwörter können bis zu 128 Zeichen lang sein. Sie sollten möglichst lange und komplexe Kennwörter verwenden.

Ablauf des Kennworts

Richtlinien zum Ablauf von Kennwörtern werden verwendet, um die Lebensdauer von Kennwörtern zu verwalten. Wenn von SQL Server die aktivierte Richtlinie zum Ablauf von Kennwörtern erzwungen wird, werden Benutzer daran erinnert, alte Kennwörter zu ändern. Konten mit abgelaufenen Kennwörtern werden deaktiviert.

Richtliniendurchsetzung

Das Erzwingen der Kennwortrichtlinie kann für jede SQL Server-Anmeldung einzeln konfiguriert werden. Verwenden Sie ALTER LOGIN (Transact-SQL), um die Kennwortrichtlinienoptionen für eine SQL Server-Anmeldung zu konfigurieren. Die folgenden Regeln gelten für die Konfiguration zur Erzwingung der Kennwortrichtlinie:

  • Wenn CHECK_POLICY in ON geändert wird, kommt es zu folgenden Verhaltensweisen:

    • Für CHECK_EXPIRATION wird ebenfalls ON festgelegt, es sei denn, der Wert OFF wurde ausdrücklich festgelegt.

    • Der Kennwortverlauf wird mit dem Wert des aktuellen Kennwort-Hash initialisiert.

  • Wenn CHECK_POLICY in OFF geändert wird, kommt es zu folgenden Verhaltensweisen:

    • Für CHECK_EXPIRATION wird ebenfalls OFF festgelegt.

    • Der Kennwortverlauf wird gelöscht.

    • Der Wert von lockout_time wird zurückgesetzt.

Einige Kombinationen von Richtlinienoptionen werden nicht unterstützt.

  • Bei einer Angabe von MUST_CHANGE muss für CHECK_EXPIRATION und CHECK_POLICY der Wert ON festgelegt sein. Sonst wird die Anweisung fehlerhaft ausgeführt.

  • Wenn für CHECK_POLICY der Wert OFF festgelegt wird, kann für CHECK_EXPIRATION nicht ON festgelegt werden. Eine ALTER LOGIN-Anweisung mit dieser Optionskombination wird einen Fehler produzieren.

    Wichtiger HinweisWichtig

    CHECK_EXPIRATION und CHECK_POLICY werden nur unter Windows Server 2003 und höheren Versionen erzwungen.

    Wichtiger HinweisWichtig

    Ein bekanntes Problem in Windows Server 2003 könnte verhindern, dass die Zählung ungültiger Kennwörter nach Erreichen von LockoutThreshold zurückgesetzt wird. Dadurch könnte eine sofortige Sperrung bei nachfolgenden Anmeldeversuchen mit Fehlern ausgelöst werden. Sie können die Zählung der schwachen Kennwörter manuell zurücksetzen, indem Sie kurzfristig CHECK_POLICY = OFF, gefolgt von CHECK_POLICY = ON festlegen.

Wenn SQL Server unter Windows 2000 ausgeführt wird, verhindert das Festlegen von CHECK_POLICY = ON das Erstellen der folgenden Kennwörter:

  • NULL-Werte oder leere Kennwörter

  • Kennwörter, die dem Computer- oder Anmeldenamen entsprechen

  • Eines der folgenden Kennwörter: "kennwort", "admin", "administrator", "sa", "sysadmin"

Die Sicherheitsrichtlinie kann in Windows festgelegt oder von der Domäne empfangen werden. Verwenden Sie zum Anzeigen der Kennwortrichtlinie auf dem Computer das MMC-Snap-In für lokale Sicherheitsrichtlinien (secpol.msc).