Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a:
SQL Server
SQL Server può utilizzare i meccanismi dei criteri per le password di Windows. I criteri per le password si applicano a un account di accesso che usa l'autenticazione SQL Server e a un utente di database contenuto con password.
SQL Server può applicare la stessa complessità e gli stessi criteri di scadenza usati in Windows alle password usate all'interno di SQL Server. Questa funzionalità dipende dall'API NetValidatePasswordPolicy.
Nota
Il Database SQL di Azure applica la complessità delle password. Le sezioni relative alla scadenza delle password e all'applicazione dei criteri non si applicano al database SQL di Azure. Per informazioni sui criteri delle password per Istanza gestita di SQL di Azure, vedere le domande frequenti su Istanza gestita di SQL.
Complessità delle password
I criteri di complessità delle password sono progettati per fungere da deterrente agli attacchi a forza bruta aumentando il numero di password possibili. Quando vengono applicati i criteri di complessità delle password, le nuove password devono soddisfare i requisiti seguenti:
La password non contiene il nome account dell'utente.
Devono essere composte da almeno otto caratteri.
La password deve contenere caratteri di tre delle quattro categorie seguenti:
- Lettere maiuscole latine (
Ada aZ) - Lettere minuscole latine (
ada az) - Base 10 cifre (
0da a9) - Caratteri non alfanumerici, ad esempio: punto esclamativo (
!), segno di dollaro ($), segno di numero () o percentuale (#%).
- Lettere maiuscole latine (
Le password possono contenere fino a 128 caratteri. Usare password il più possibile lunghe e complesse.
Scadenza della password
I criteri di scadenza delle password consentono di gestire l'intervallo di validità di una password. Quando SQL Server applica i criteri di scadenza delle password, gli utenti ricevono un promemoria per la modifica delle vecchie password e gli account con password scadute vengono disabilitati.
Imposizione dei criteri
L'applicazione dei criteri delle password può essere configurata separatamente per ogni login di SQL Server. Usare ALTER LOGIN per configurare le opzioni dei criteri password di un account di accesso SQL Server. Le seguenti regole si applicano alla configurazione dell'applicazione dei criteri delle password:
Quando
CHECK_POLICYviene modificato inON, si verificano i comportamenti seguenti:-
CHECK_EXPIRATIONè impostato anche suONa meno che non sia impostato in modo esplicito suOFF. - La cronologia delle password viene inizializzata con il valore dell'hash della password corrente.
- Sono inoltre abilitate anche le opzioni Durata del blocco dell'account, Soglia di blocco dell'account e Reimposta il contatore del blocco dell'account dopo.
-
Quando
CHECK_POLICYviene modificato inOFF, si verificano i comportamenti seguenti:-
CHECK_EXPIRATIONè anche impostato suOFF. - Viene cancellata la cronologia delle password.
- Viene reimpostato il valore di
lockout_time.
-
Alcune combinazioni di opzioni dei criteri non sono supportate.
Se
MUST_CHANGEè specificato eCHECK_EXPIRATIONCHECK_POLICYdeve essere impostato suON. In caso contrario, l'istruzione non riesce.Se
CHECK_POLICYè impostato suOFF,CHECK_EXPIRATIONnon è possibile impostare suON. Un'istruzioneALTER LOGINcon questa combinazione di opzioni ha esito negativo.L'impostazione
CHECK_POLICY = ONimpedisce la creazione di password che sono:- Null o vuoto
- Equivalenti al nome del computer o dell'account di accesso
- Uno qualsiasi dei seguenti:
password,admin,administrator,sa,sysadmin
I criteri di sicurezza possono essere impostati in Windows o essere ricevuti dal dominio. Per visualizzare i criteri delle password nel computer in uso, utilizzare lo snap-in MMC Criteri di sicurezza locali (secpol.msc).
Nota
Per gli account di accesso di SQL Server con CHECK_POLICY abilitato, se si esegue ALTER LOGIN e non si include OLD_PASSWORD nel comando per modificare la password, l'opzione Imponi cronologia password viene ignorata. Questo comportamento è progettato per consentire la reimpostazione della password, nonostante le password usate in precedenza. Gli altri controlli associati a CHECK_POLICY, inclusa la lunghezza e la complessità, vengono controllati indipendentemente dal fatto che OLD_PASSWORD venga usato.
Controllare le informazioni sui criteri password degli utenti SQL
È possibile esaminare i criteri password dell'utente SQL e le date di scadenza in SQL Server usando la query seguente. Anche se la query seguente funziona anche nel database SQL di Azure, nel database SQL di Azure viene applicata solo la complessità delle password.
SELECT name,
is_policy_checked,
is_expiration_checked,
LOGINPROPERTY(name, 'IsMustChange') AS IsMustChange,
LOGINPROPERTY(name, 'IsLocked') AS IsLocked,
LOGINPROPERTY(name, 'LockoutTime') AS LockoutTime,
LOGINPROPERTY(name, 'PasswordLastSetTime') AS PasswordLastSetTime,
LOGINPROPERTY(name, 'IsExpired') AS IsExpired,
LOGINPROPERTY(name, 'BadPasswordCount') AS BadPasswordCount,
LOGINPROPERTY(name, 'BadPasswordTime') AS BadPasswordTime,
LOGINPROPERTY(name, 'HistoryLength') AS HistoryLength,
modify_date
FROM sys.sql_logins;
Attività correlate
- CREATE LOGIN
- ALTER LOGIN
- CREATE USER
- ALTER USER
- Creare un account di accesso
- Creare un utente del database