Scelta di una modalità di autenticazione
Durante l'installazione, è necessario selezionare una modalità di autenticazione per il Motore di database. Sono disponibili due modalità: la modalità di autenticazione di Windows e la modalità mista. La modalità di autenticazione di Windows abilita l'autenticazione di Windows e disabilita quella di SQL Server. La modalità mista abilita sia l'autenticazione di Windows sia quella di SQL Server. L'autenticazione di Windows è sempre disponibile e non può essere disabilitata.
Configurazione della modalità di autenticazione
Se si seleziona l'autenticazione in modalità mista durante l'installazione, è necessario specificare e confermare una password complessa per l'account amministratore di sistema di SQL Server predefinito denominato sa. L'account sa consente di connettersi utilizzando l'autenticazione di SQL Server.
Se si seleziona l'autenticazione di Windows durante l'installazione, viene creato l'account sa per l'autenticazione di SQL Server, che rimane però disabilitato. Se successivamente si passa all'autenticazione in modalità mista e si desidera utilizzare l'account sa, sarà necessario abilitarlo. Qualsiasi account Windows o SQL Server può essere configurato come amministratore di sistema. Poiché l'account sa è un account noto ed è spesso preso di mira dagli utenti malintenzionati, si consiglia di abilitarlo solo se richiesto dall'applicazione. Non impostare mai password vuote o vulnerabili per l'account sa. Per passare dalla modalità di autenticazione di Windows all'autenticazione in modalità mista e utilizzare l'autenticazione di SQL Server, vedere Procedura: Modifica della modalità di autenticazione del server.
Connessione tramite l'autenticazione di Windows
Quando un utente si connette utilizzando un account utente di Windows, in SQL Server il nome e la password dell'account vengono convalidati tramite il token dell'entità di Windows nel sistema operativo. L'identità dell'utente viene pertanto confermata da Windows. In SQL Server non viene richiesta la password e non viene eseguita la convalida dell'identità. L'autenticazione di Windows è la modalità di autenticazione predefinita e garantisce maggiore sicurezza rispetto all'autenticazione di SQL Server. L'autenticazione di Windows, per la quale viene utilizzato il protocollo di sicurezza Kerberos, garantisce l'applicazione dei criteri password mediante convalida della complessità delle password complesse, offre il supporto per il blocco dell'account e la scadenza delle password. In alcuni casi, una connessione effettuata con l'autenticazione di Windows viene denominata connessione trusted, poiché SQL Server considera attendibili le credenziali fornite da Windows.
Nota sulla sicurezza |
---|
Se possibile, utilizzare l'autenticazione di Windows. |
Connessione tramite l'autenticazione di SQL Server
Quando si utilizza l'autenticazione di SQL Server, in SQL Server vengono creati account di accesso non basati sugli account utente di Windows. Il nome utente e la password vengono creati tramite SQL Server e archiviati in SQL Server. Gli utenti che si connettono tramite l'autenticazione di SQL Server devono fornire le proprie credenziali (account di accesso e password) a ogni tentativo di connessione. Se si utilizza l'autenticazione di SQL Server, è necessario impostare password complesse per tutti gli account di SQL Server. Per consultare le linee guida per la creazione di password complesse, vedere Configurazione Motore di database - Provisioning account.
Sono disponibili tre criteri password facoltativi per gli account di accesso di SQL Server.
Richiedi modifica della password all'accesso successivo
Viene richiesto di modificare la password alla connessione successiva dell'utente. La possibilità di modificare la password è resa disponibile da SQL Server Management Studio. Se viene selezionata questa opzione, gli sviluppatori software di terze parti devono fornire questa caratteristica.
Imponi scadenza password
Per gli account di accesso di SQL Server vengono applicati i criteri di durata massima delle password del computer.
Applica criteri password
Per gli account di accesso di SQL Server vengono applicati i criteri password di Windows del computer, tra cui quelli relativi alla lunghezza e alla complessità delle password. Questa funzionalità dipende dall'API NetValidatePasswordPolicy, disponibile unicamente in Windows Server 2003 e versioni successive.
Per determinare i criteri password del computer locale
Fare clic sul pulsante Start e scegliere Esegui.
Nella finestra di dialogo Esegui digitare secpol.msc, quindi fare clic su OK.
Nell'applicazione Impostazioni sicurezza locale espandere Impostazioni di sicurezza e Criteri account, quindi fare clic su Criteri password.
I criteri password sono descritti nel riquadro dei risultati.
Svantaggi dell'autenticazione di SQL Server
Se l'utente è un utente di dominio Windows con un account di accesso e una password per Windows, deve comunque fornire un altro account di accesso (SQL Server) e un'altra password per connettersi. Tenere traccia di più nomi e password è un'operazione problematica per molti utenti. La necessità di fornire le credenziali di SQL Server ogni volta che ci si connette al database può risultare fastidiosa.
L'autenticazione di SQL Server non supporta l'utilizzo del protocollo di sicurezza Kerberos.
In Windows vengono offerti criteri password aggiuntivi non disponibili per gli account di accesso di SQL Server.
Vantaggi dell'autenticazione di SQL Server
Consente a SQL Server di supportare applicazioni meno recenti e applicazioni di terze parti per le quali è necessaria l'autenticazione di SQL Server.
Consente a SQL Server di supportare ambienti con sistemi operativi misti, in cui tutti gli utenti non sono autenticati da un dominio Windows.
Consente agli utenti di effettuare la connessione da domini sconosciuti o non trusted: ad esempio un'applicazione in cui clienti specifici si connettono con account di accesso di SQL Server assegnati per verificare lo stato dei loro ordini.
Consente a SQL Server di supportare applicazioni Web in cui gli utenti creano le proprie identità.
Consente agli sviluppatori software di distribuire le loro applicazioni tramite una gerarchia di autorizzazioni complessa basata su account di accesso di SQL Server noti e preimpostati.
Nota
L'utilizzo dell'autenticazione di SQL Server non limita le autorizzazioni degli amministratori locali per il computer in cui è installato SQL Server.
Vedere anche