Elección de un modo de autenticación

Se aplica a: SQL Server

Durante la configuración, debe seleccionar un modo de autenticación para el motor de base de datos. Hay dos modos posibles: modo de autenticación de Windows y modo mixto. El modo Autenticación de Windows activa la autenticación de Windows y desactiva la autenticación de SQL Server. El modo mixto permite tanto la autenticación de Windows como la de SQL Server. La autenticación de Windows está disponible siempre y no se puede deshabilitar.

Configurar el modo de autenticación

Si seleccionas la autenticación de modo mixto (modo de autenticación de Windows y SQL Server) durante la configuración, debes proporcionar y confirmar una contraseña segura para la cuenta de administrador del sistema SQL Server integrada llamada sa. La cuenta sa se conecta mediante la autenticación de SQL Server.

Si selecciona Autenticación de Windows durante la configuración, la configuración crea la cuenta sa para la autenticación de SQL Server, pero está deshabilitada. Si después cambias a la autenticación de modo mixto y desea utilizar la cuenta sa, debes habilitar la cuenta. Cualquier cuenta de Windows o SQL Server puede configurarse como administrador del sistema. Dado que la cuenta sa es muy conocida y a menudo es el objetivo de usuarios malintencionados, no la habilite a menos que la aplicación lo requiera. Nunca establezcas una contraseña en blanco o con poca seguridad para la cuenta sa. Para cambiar del modo de autenticación de Windows al modo mixto de autenticación y usar la autenticación de SQL Server, vea Cambiar el modo de autenticación del servidor.

Conectar a través de la autenticación de Windows

Cuando un usuario se conecta a través de una cuenta de usuario de Windows, SQL Server valida el nombre de cuenta y la contraseña mediante el token principal de Windows en el sistema operativo. Esto significa que Windows confirma la identidad del usuario. SQL Server no pide la contraseña y no realiza la validación de identidad. La autenticación de Windows es el modo de autenticación predeterminado y es mucho más seguro que la autenticación de SQL Server. La autenticación de Windows usa el New Technology LAN Manager (NTLM) o el protocolo de seguridad de Kerberos, proporciona la aplicación de directivas de contraseñas en cuanto a la validación de la complejidad de las contraseñas seguras, ofrece compatibilidad para el bloqueo de cuentas y admite la expiración de las contraseñas. Una conexión realizada utilizando la autenticación de Windows se denomina a veces conexión de confianza, porque SQL Server confía en las credenciales proporcionadas por Windows.

Para obtener más información sobre cómo configurar Kerberos, consulte Registrar un nombre de entidad de seguridad de servicio para las conexiones con Kerberos.

Al usar la Autenticación de Windows, se pueden crear grupos de Windows a nivel de dominio, y se puede crear un inicio de sesión en SQL Server para todo el grupo. La administración del acceso desde el nivel de dominio puede simplificar la administración de cuentas.

Importante

Siempre que sea posible, utilice la autenticación de Windows.

Conectar a través de la autenticación de SQL Server

Cuando se usa la autenticación de SQL Server, se crean inicios de sesión en SQL Server que no se basan en cuentas de usuario de Windows. El nombre de usuario y la contraseña se crean mediante SQL Server y se almacenan en SQL Server. Los usuarios que se conecten mediante la autenticación de SQL Server deben proporcionar sus credenciales (nombre de usuario y contraseña) cada vez que se conecten. Cuando use la autenticación de SQL Server, debe establecer contraseñas seguras para todas las cuentas de SQL Server. Para obtener las directrices para contraseñas seguras, vea Strong Passwords.

Hay tres directivas de contraseña opcionales disponibles para los inicios de sesión de SQL Server.

  • El usuario debe cambiar la contraseña en el siguiente inicio de sesión

    Exige que el usuario cambie la contraseña la próxima vez que se conecte. La capacidad de cambiar la contraseña es proporcionada por SQL Server Management Studio. Otras empresas de desarrollo de software deberían proporcionar esta característica si se utiliza esta opción.

  • Exigir expiración de contraseña

    La directiva de antigüedad máxima de contraseña del equipo se aplica para los inicios de sesión de SQL Server.

  • Exigir directivas de contraseñas

    Las directivas de contraseñas de Windows del equipo se aplican a los inicios de sesión de SQL Server. Esto incluye la longitud y complejidad de las contraseñas. Esta función depende de la API NetValidatePasswordPolicy, que solo está disponible en Windows Server 2003 y versiones posteriores.

Para determinar las directivas de las contraseñas del equipo local

  1. En el menú Inicio, seleccione Ejecutar.

  2. En el cuadro de diálogo Ejecutar, escriba secpol.msc y seleccione Aceptar.

  3. En la aplicación Configuración de seguridad local, expanda Configuración de seguridad, expanda Directivas de cuenta y, después, seleccione Directiva de contraseñas.

    Las directivas de contraseñas se describen en el panel de resultados.

Desventajas de la autenticación de SQL Server

  • Si un usuario es un usuario de dominio de Windows que tiene un nombre de usuario y contraseña para Windows, debe proporcionar otro nombre de usuario y contraseña (SQL Server) para conectarse. Hacer el seguimiento de varios nombres y contraseñas es difícil para muchos usuarios. Puede resultar molesto tener que proporcionar las credenciales de SQL Server cada vez que el usuario se conecta a la base de datos.

  • La autenticación de SQL Server no puede usar el protocolo de seguridad Kerberos.

  • Windows ofrece directivas de contraseña adicionales que no están disponibles para los inicios de sesión de SQL Server.

  • La contraseña de inicio de sesión cifrada de la autenticación de SQL Server, debe pasarse a través de la red en el momento de la conexión. Algunas aplicaciones que se conectan automáticamente almacenarán la contraseña en el cliente. Estos puntos de ataque adicionales.

Ventajas de la autenticación de SQL Server

  • Permite que SQL Server admita aplicaciones antiguas y aplicaciones proporcionadas por terceros que requieren autenticación de SQL Server.

  • Permite que SQL Server admita entornos con sistemas operativos mixtos, en los que no todos los usuarios están autenticados por un dominio de Windows.

  • Permite a los usuarios conectarse desde dominios desconocidos o que no son de confianza. Por ejemplo, una aplicación en la que los clientes establecidos se conectan con los inicios de sesión de SQL Server asignados para recibir el estado de sus pedidos.

  • Permite que SQL Server admita las aplicaciones web donde los usuarios crean sus propias identidades.

  • Permite a los programadores de software distribuir sus aplicaciones mediante el uso de una compleja jerarquía de permisos basada en inicios de sesión de SQL Server conocidos y preestablecidos.

    Nota:

    El uso de la autenticación de SQL Server no limita los permisos de los administradores locales en el equipo donde está instalado SQL Server.