Windows身份驗證模式和混合模式

2019-10-30 20:58:19

字體：大中小

來源：轉載

供稿：網(wǎng)友

　　某日，A君問起Windows身份驗證模式和混合模式驗證的區(qū)別與優(yōu)缺時，根據(jù)安全性的考慮，按照到了此文作為參考，學習下~

　　在安裝過程中，必須為數(shù)據(jù)庫引擎選擇身份驗證模式。可供選擇的模式有兩種：Windows 身份驗證模式和混合模式。 Windows 身份驗證模式會啟用 Windows 身份驗證并禁用 SQL Server 身份驗證。混合模式會同時啟用 Windows 身份驗證和 SQL Server 身份驗證。 Windows 身份驗證始終可用，并且無法禁用。

　　配置身份驗證模式

　　如果在安裝過程中選擇混合模式身份驗證，則必須為名為 sa 的內置 SQL Server 系統(tǒng)管理員帳戶提供一個強密碼并確認該密碼。 sa 帳戶通過使用 SQL Server 身份驗證進行連接。

　　如果在安裝過程中選擇 Windows 身份驗證，則安裝程序會為 SQL Server 身份驗證創(chuàng)建 sa 帳戶，但會禁用該帳戶。如果稍后更改為混合模式身份驗證并要使用 sa 帳戶，則必須啟用該帳戶。您可以將任何 Windows 或 SQL Server 帳戶配置為系統(tǒng)管理員。由于 sa 帳戶廣為人知且經(jīng)常成為惡意用戶的攻擊目標，因此除非應用程序需要使用 sa 帳戶，否則請勿啟用該帳戶。切勿為 sa 帳戶設置空密碼或弱密碼。若要從 Windows 身份驗證模式更改為混合模式身份驗證并使用 SQL Server 身份驗證，請參閱更改服務器身份驗證模式。

　　通過 Windows 身份驗證進行連接

　　當用戶通過 Windows 用戶帳戶連接時，SQL Server 使用操作系統(tǒng)中的 Windows 主體標記驗證帳戶名和密碼。也就是說，用戶身份由 Windows 進行確認。 SQL Server 不要求提供密碼，也不執(zhí)行身份驗證。 Windows 身份驗證是默認身份驗證模式，并且比 SQL Server 身份驗證更為安全。 Windows 身份驗證使用 Kerberos 安全協(xié)議，提供有關強密碼復雜性驗證的密碼策略強制，還提供帳戶鎖定支持，并且支持密碼過期。通過 Windows 身份驗證完成的連接有時也稱為可信連接，這是因為 SQL Server 信任由 Windows 提供的憑據(jù)。

　　安全說明

　　請盡可能使用 Windows 身份驗證。

　　通過 SQL Server 身份驗證進行連接

　　當使用 SQL Server 身份驗證時，在 SQL Server 中創(chuàng)建的登錄名并不基于 Windows 用戶帳戶。用戶名和密碼均通過使用 SQL Server 創(chuàng)建并存儲在 SQL Server 中。通過 SQL Server 身份驗證進行連接的用戶每次連接時必須提供其憑據(jù)(登錄名和密碼)。當使用 SQL Server 身份驗證時，必須為所有 SQL Server 帳戶設置強密碼。

　　可供 SQL Server 登錄名選擇使用的密碼策略有三種。

　　用戶在下次登錄時必須更改密碼

　　要求用戶在下次連接時更改密碼。更改密碼的功能由 SQL Server Management Studio 提供。如果使用該選項，則第三方軟件開發(fā)人員應提供此功能。

　　強制密碼過期

　　對 SQL Server 登錄名強制實施計算機的密碼最長使用期限策略。

　　強制實施密碼策略

　　對 SQL Server 登錄名強制實施計算機的 Windows 密碼策略。這包括密碼長度和密碼復雜性。此功能需要通過 NetValidatePasswordPolicy API 實現(xiàn)，該 API 只在 Windows Server 2003 和更高版本中提供。

　　確定本地計算機的密碼策略

　　在"開始"菜單上，單擊"運行".

　　在"運行"對話框中，鍵入 secpol.msc,然后單擊"確定".

　　在"本地安全設置"應用程序中，依次展開"安全設置"、"帳戶策略",然后單擊"密碼策略".

　　密碼策略將如結果窗格中所示。