Delen via

Wachtwoordbeleid

Van toepassing op:SQL Server

SQL Server kan Windows-wachtwoordbeleidsmechanismen gebruiken. Het wachtwoordbeleid is van toepassing op een aanmelding die gebruikmaakt van SQL Server-verificatie en op een ingesloten databasegebruiker met een wachtwoord.

SQL Server kan dezelfde complexiteit en verloopbeleid toepassen dat in Windows wordt gebruikt op wachtwoorden die in SQL Server worden gebruikt. Deze functionaliteit is afhankelijk van de NetValidatePasswordPolicy API.

Opmerking

Azure SQL Database dwingt wachtwoordcomplexiteit af. De secties voor het verlopen van wachtwoorden en het afdwingen van beleid zijn niet van toepassing op Azure SQL Database.

Zie onze veelgestelde vragen over SQL Managed Instance voor informatie over wachtwoordbeleid voor Azure SQL Managed Instance.

Wachtwoordcomplexiteit

Beleidsregels voor wachtwoordcomplexiteit zijn ontworpen om beveiligingsaanvallen te ontmoedigen door het aantal mogelijke wachtwoorden te verhogen. Wanneer beleid voor wachtwoordcomplexiteit wordt afgedwongen, moeten nieuwe wachtwoorden voldoen aan de volgende richtlijnen:

  • Het wachtwoord bevat niet de accountnaam van de gebruiker.

  • Het wachtwoord is ten minste acht tekens lang.

  • Het wachtwoord bevat tekens uit drie van de volgende vier categorieën:

    • Latijnse hoofdletters (A tot en met Z)

    • Latijnse kleine letters (a tot en met z)

    • Tien basiscijfers (0 tot en met 9)

    • Niet-analphanumerische tekens, zoals: uitroepteken (!), dollarteken ($), cijferteken (#) of percentage (%).

Wachtwoorden mogen maximaal 128 tekens lang zijn. Gebruik wachtwoorden die zo lang en complex mogelijk zijn.

Wachtwoordverloop

Beleidsregels voor het verlopen van wachtwoorden worden gebruikt om de levensduur van een wachtwoord te beheren. Wanneer SQL Server het verloopbeleid voor wachtwoorden afdwingt, worden gebruikers eraan herinnerd oude wachtwoorden te wijzigen en worden accounts die verlopen wachtwoorden hebben uitgeschakeld.

Afdwinging van beleid

Het afdwingen van wachtwoordbeleid kan afzonderlijk worden geconfigureerd voor elke SQL Server-aanmelding. Gebruik ALTER LOGIN om de opties voor wachtwoordbeleid van een SQL Server-aanmelding te configureren. De volgende regels zijn van toepassing op de configuratie van het afdwingen van wachtwoordbeleid:

  • Wanneer CHECK_POLICY wordt gewijzigd in AAN, treden de volgende gedragingen op:

    • CHECK_EXPIRATION is ook ingesteld op AAN, tenzij deze expliciet is ingesteld op UIT.

    • De wachtwoordgeschiedenis wordt geïnitialiseerd met de waarde van de huidige wachtwoord-hash.

    • Duur van accountvergrendeling, drempelwaarde voor accountvergrendeling en vergrendelingsmeteritem van het account opnieuw instellen nadat deze ook zijn ingeschakeld.

  • Wanneer CHECK_POLICY wordt gewijzigd in UIT, treden de volgende gedragingen op:

    • CHECK_EXPIRATION is ook ingesteld op UIT.

    • De wachtwoordgeschiedenis is gewist.

    • De waarde van lockout_time is opnieuw ingesteld.

Sommige combinaties van beleidsopties worden niet ondersteund.

  • Als MUST_CHANGE is opgegeven, moeten CHECK_EXPIRATION en CHECK_POLICY worden ingesteld op AAN. Anders mislukt de instructie.

  • Als CHECK_POLICY is ingesteld op UIT, kan CHECK_EXPIRATION niet worden ingesteld op AAN. Een ALTER LOGIN-instructie met deze combinatie van opties mislukt.

  • Door CHECK_POLICY = ON in te stellen, voorkomt u het aanmaken van wachtwoorden die:

    • Null of leeg

    • Hetzelfde als de naam van de computer of aanmelding

    • Een van de volgende opties: password, admin, administrator, , sasysadmin

Het beveiligingsbeleid kan worden ingesteld in Windows of kan worden ontvangen van het domein. Als u het wachtwoordbeleid op de computer wilt weergeven, gebruikt u de MMC-module Lokaal beveiligingsbeleid (secpol.msc).

Opmerking

Als u ALTER LOGIN uitvoert en geen OLD_PASSWORD opneemt in de opdracht om het wachtwoord te wijzigen, wordt wachtwoordgeschiedenis genegeerd voor SQL Server-aanmeldingen waarvoor CHECK_POLICY is ingeschakeld. Dit is een standaardgedrag om het opnieuw instellen van wachtwoorden toe te staan, ondanks eventuele eerder gebruikte wachtwoorden. Andere controles die zijn gekoppeld aan CHECK_POLICY, inclusief lengte en complexiteit, worden gecontroleerd, ongeacht of OLD_PASSWORD wordt gebruikt.

Informatie over het wachtwoordbeleid voor SQL-gebruikers controleren

U kunt het wachtwoordbeleid voor SQL-gebruikers en vervaldatums in SQL Server controleren met behulp van de volgende query. Hoewel de volgende query ook in Azure SQL Database werkt, wordt alleen wachtwoordcomplexiteit afgedwongen in Azure SQL Database.

SELECT name,
    is_policy_checked,
    is_expiration_checked,
    LOGINPROPERTY(name, 'IsMustChange') AS IsMustChange,
    LOGINPROPERTY(name, 'IsLocked') AS IsLocked,
    LOGINPROPERTY(name, 'LockoutTime') AS LockoutTime,
    LOGINPROPERTY(name, 'PasswordLastSetTime') AS PasswordLastSetTime,
    LOGINPROPERTY(name, 'IsExpired') AS IsExpired,
    LOGINPROPERTY(name, 'BadPasswordCount') AS BadPasswordCount,
    LOGINPROPERTY(name, 'BadPasswordTime') AS BadPasswordTime,
    LOGINPROPERTY(name, 'HistoryLength') AS HistoryLength,
    modify_date
FROM sys.sql_logins;

INLOGGEN AANMAKEN

ALTER LOGIN

GEBRUIKER AANMAKEN

ALTER USER

Een aanmelding maken

Een databasegebruiker maken

Verwante inhoud