Criteri password
Se eseguito in Windows Server 2003 o versioni successive, SQL Server può utilizzare criteri password Windows.
SQL Server può applicare gli stessi criteri di complessità e scadenza utilizzati in Windows Server 2003 alle password utilizzate all'interno di SQL Server. Questa funzionalità dipende dall'API NetValidatePasswordPolicy, disponibile unicamente in Windows Server 2003 e versioni successive.
Complessità delle password
I criteri di complessità delle password sono progettati per fungere da deterrente agli attacchi a forza bruta aumentando il numero di password possibili. Quando vengono applicati i criteri di complessità delle password, le nuove password devono soddisfare i requisiti seguenti:
Non devono contenere il nome account dell'utente o parte di esso. Per parte di un nome account si intendono tre o più caratteri alfanumerici consecutivi delimitati a entrambe le estremità da uno spazio vuoto, ad esempio spazio, tabulazione e ritorno a capo o uno qualsiasi dei caratteri seguenti: virgola (,), punto (.), trattino (-), carattere di sottolineatura (_) o simbolo di cancelletto (#).
Devono essere composte da almeno otto caratteri.
Devono contenere caratteri di almeno tre delle quattro categorie seguenti:
Lettere maiuscole dell'alfabeto latino (dalla A alla Z)
Lettere minuscole dell'alfabeto latino (dalla a alla z)
Numeri in base 10 (da 0 a 9)
Caratteri non alfanumerici, ad esempio punto esclamativo (!), dollaro ($), simbolo di cancelletto (#) o percentuale (%).
Le password possono contenere fino a 128 caratteri. È consigliabile utilizzare password più lunghe e complesse possibile.
Scadenza delle password
I criteri di scadenza delle password consentono di gestire l'intervallo di validità di una password. Se in SQL Server vengono applicati i criteri di scadenza delle password, gli utenti ricevono un promemoria per la modifica delle vecchie password e gli account con password scadute vengono disattivati.
Applicazione dei criteri
L'applicazione dei criteri password può essere configurata separatamente per ogni account di accesso di SQL Server. Utilizzare ALTER LOGIN (Transact-SQL) per configurare i criteri password di un account di accesso di SQL Server. Le regole seguenti sono valide per la configurazione dell'applicazione dei criteri password:
Quando l'opzione CHECK_POLICY viene impostata su ON, si ottiene il comportamento seguente:
Anche CHECK_EXPIRATION viene impostato su ON, a meno che non lo si imposti esplicitamente su OFF.
La cronologia delle password viene inizializzata con il valore dell'hash della password corrente.
Quando l'opzione CHECK_POLICY viene impostata su OFF, si ottiene il comportamento seguente:
Anche CHECK_EXPIRATION viene impostato su OFF.
La cronologia delle password viene cancellata.
Viene reimpostato il valore di lockout_time.
Alcune combinazioni di criteri non sono supportate.
Se si specifica MUST_CHANGE, è necessario impostare CHECK_EXPIRATION e CHECK_POLICY su ON. In caso contrario, l'esecuzione dell'istruzione non riesce.
Se CHECK_POLICY è impostato su OFF, CHECK_EXPIRATION non può essere impostato su ON. Un'istruzione ALTER LOGIN composta da questa combinazione di opzioni non riuscirà.
Importante CHECK_EXPIRATION e CHECK_POLICY vengono imposte solo in Windows Server 2003 e versioni successive.
Importante Un problema noto in Windows Server 2003 potrebbe impedire la reimpostazione del conteggio delle password errate dopo il raggiungimento del valore impostato in LockoutThreshold. Ne potrebbe conseguire il blocco immediato in seguito a tentativi di accesso non riusciti. È possibile reimpostare manualmente il conteggio delle password errate impostando CHECK_POLICY su OFF e quindi impostando CHECK_POLICY su ON.
Se SQL Server viene eseguito in Windows 2000, l'impostazione dell'opzione CHECK_POLICY su ON impedirà la creazione di password:
Null o vuote
Equivalenti al nome del computer o dell'account di accesso
Equivalenti a parole quali "password", "admin", "administrator", "sa", "sysadmin"
I criteri di protezione possono essere impostati in Windows o essere ricevuti dal dominio. Per visualizzare i criteri password nel computer, utilizzare lo snap-in MMC Criteri di protezione locali (secpol.msc).
Vedere anche