Scegliere una modalità di autenticazione

Durante l'installazione è necessario selezionare una modalità di autenticazione per il Motore di database. Sono disponibili due modalità: la modalità di autenticazione di Windows e la modalità mista. La modalità di autenticazione di Windows abilita l'autenticazione di Windows e disabilita quella di SQL Server. La modalità mista abilita sia l'autenticazione di Windows sia quella di SQL Server. L'autenticazione di Windows è sempre disponibile e non può essere disabilitata.

Configurazione della modalità di autenticazione

Se si seleziona la modalità di autenticazione mista durante l'installazione, è necessario specificare e confermare una password complessa per l'account amministratore di sistema di SQL Server predefinito denominato sa. L'account sa si connette utilizzando l'autenticazione di SQL Server.

Se si seleziona l'autenticazione di Windows durante l'installazione, viene creato l'account sa per l'autenticazione di SQL Server, che rimane tuttavia disabilitato. Se successivamente si passa all'autenticazione mista e si desidera utilizzare l'account sa, sarà necessario abilitarlo. Qualsiasi account di Windows o di SQL Server può essere configurato come amministratore di sistema. Poiché l'account sa è un account noto ed è spesso preso di mira dagli utenti malintenzionati, abilitare tale account sa solo se richiesto dall'applicazione. Non impostare mai password vuote o vulnerabili per l'account sa. Per passare dalla modalità di autenticazione di Windows alla modalità di autenticazione mista e utilizzare l'autenticazione di SQL Server, vedere Modifica della modalità di autenticazione del server.

Connessione tramite l'autenticazione di Windows

Quando un utente si connette utilizzando un account utente di Windows, in SQL Server il nome e la password dell'account vengono convalidati tramite il token dell'entità di Windows nel sistema operativo. L'identità utente viene pertanto verificata da Windows. In SQL Server non viene richiesta la password e non viene eseguita la convalida dell'identità. L'autenticazione di Windows è la modalità di autenticazione predefinita e garantisce maggiore sicurezza rispetto all'autenticazione di SQL Server. L'autenticazione di Windows, per la quale viene utilizzato il protocollo di sicurezza Kerberos, garantisce l'applicazione dei criteri password mediante convalida della complessità delle password complesse, offre il supporto per il blocco dell'account e la scadenza delle password. In alcuni casi, una connessione effettuata con l'autenticazione di Windows viene denominata connessione trusted, poiché in SQL Server vengono considerate attendibili le credenziali fornite da Windows.

Utilizzando l'autenticazione di Windows, è possibile creare i gruppi di Windows a livello di dominio e un account di accesso in SQL Server per l'intero gruppo. Gestire l'accesso a livello di dominio può semplificare l'amministrazione di account.

Nota sulla sicurezzaNota sulla sicurezza

Se possibile, utilizzare l'autenticazione di Windows.

Connessione tramite l'autenticazione di SQL Server

Quando si utilizza l'autenticazione di SQL Server, in SQL Server vengono creati account di accesso non basati su account utente di Windows. Il nome utente e la password vengono creati tramite SQL Server e archiviati in SQL Server. Gli utenti che si connettono tramite l'autenticazione di SQL Server devono fornire le proprie credenziali (account di accesso e password) a ogni tentativo di connessione. Se si utilizza l'autenticazione di SQL Server, è necessario impostare password complesse per tutti gli account di SQL Server. Per consultare le linee guida per la creazione di password complesse, vedere Password complesse.

Sono disponibili tre criteri password facoltativi per gli account di accesso di SQL Server.

  • Richiedi modifica della password all'accesso successivo

    Viene richiesto di modificare la password alla connessione successiva dell'utente. La possibilità di modificare la password è resa disponibile da SQL Server Management Studio. Se viene selezionata questa opzione, gli sviluppatori software di terze parti devono fornire questa funzionalità.

  • Imponi scadenza password

    Per gli account di accesso di SQL Server vengono applicati i criteri di durata massima delle password del computer.

  • Applica criteri password

    Per gli account di accesso di SQL Server vengono applicati i criteri password di Windows del computer, tra cui quelli relativi alla lunghezza e alla complessità delle password. Questa funzionalità dipende dall'API NetValidatePasswordPolicy, disponibile unicamente in Windows Server 2003 e versioni successive.

Per determinare i criteri password del computer locale

  1. Fare clic sul menu Start e scegliere Esegui.

  2. Nella finestra di dialogo Esegui digitare secpol.msc, quindi fare clic su OK.

  3. Nell'applicazione Impostazioni sicurezza locale espandere Impostazioni di sicurezza e Criteri account, quindi fare clic su Criteri password.

    I criteri password sono descritti nel riquadro dei risultati.

Svantaggi dell'autenticazione di SQL Server

  • Se l'utente è un utente di dominio Windows con un account di accesso e una password per Windows, deve comunque fornire un altro account di accesso (SQL Server) e un'altra password per connettersi. Tenere traccia di più nomi e password è un'operazione problematica per molti utenti. La necessità di fornire le credenziali di SQL Server ogni volta che ci si connette al database può risultare fastidiosa.

  • L'autenticazione di SQL Server non supporta l'utilizzo del protocollo di sicurezza Kerberos.

  • In Windows sono presenti criteri password aggiuntivi non disponibili per gli account di accesso di SQL Server.

  • È necessario che la password di accesso crittografata per l'autenticazione di SQL Server venga trasmessa in rete al momento della connessione. In alcune applicazioni che si connettono automaticamente, la password verrà archiviata nel client, creando punti di attacco aggiuntivi.

Vantaggi dell'autenticazione di SQL Server

  • Consente a SQL Server di supportare applicazioni meno recenti e applicazioni di terze parti per le quali è necessaria l'autenticazione di SQL Server.

  • Consente a SQL Server di supportare ambienti con sistemi operativi misti, in cui tutti gli utenti non sono autenticati da un dominio Windows.

  • Consente agli utenti di effettuare la connessione da domini sconosciuti o non trusted: ad esempio un'applicazione in cui clienti specifici si connettono con account di accesso di SQL Server assegnati per verificare lo stato dei loro ordini.

  • Consente a SQL Server di supportare applicazioni Web in cui gli utenti creano le proprie identità.

  • Consente agli sviluppatori software di distribuire le loro applicazioni tramite una gerarchia di autorizzazioni complessa basata su account di accesso di SQL Server noti e preimpostati.

    [!NOTA]

    L'utilizzo dell'autenticazione di SQL Server non limita le autorizzazioni degli amministratori locali per il computer in cui è installato SQL Server.

Vedere anche

Concetti

Considerazioni sulla sicurezza per un'installazione di SQL Server