Verwenden der Kennwortrichtlinie für SQL Server-Logins auf RDS for SQL Server - Amazon Relational Database Service
Wichtige BegriffeRichtlinie aktivieren und deaktivierenRichtlinienparameter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden der Kennwortrichtlinie für SQL Server-Logins auf RDS for SQL Server

Mit Amazon RDS können Sie die Passwortrichtlinie für Ihre Amazon RDS-DB-Instance festlegen, auf der Microsoft SQL Server ausgeführt wird. Verwenden Sie diese Option, um die Komplexität, Länge und Sperranforderungen für Anmeldungen festzulegen, die die SQL Server-Authentifizierung zur Authentifizierung bei Ihrer DB-Instance verwenden.

Wichtige Begriffe

Anmeldung

In SQL Server wird ein Prinzipal auf Serverebene, der sich bei einer Datenbankinstanz authentifizieren kann, als Anmeldung bezeichnet. Andere Datenbank-Engines bezeichnen diesen Prinzipal möglicherweise als Benutzer. In RDS für SQL Server kann eine Anmeldung mithilfe der SQL Server-Authentifizierung oder der Windows-Authentifizierung authentifiziert werden.

SQL Server-Anmeldung

Eine Anmeldung, die einen Benutzernamen und ein Passwort zur Authentifizierung mithilfe der SQL Server-Authentifizierung verwendet, ist eine SQL Server-Anmeldung. Die Kennwortrichtlinie, die Sie über DB-Parameter konfigurieren, gilt nur für SQL Server-Logins.

Windows-Anmeldung

Eine Anmeldung, die auf einem Windows-Prinzipal basiert und sich mithilfe der Windows-Authentifizierung authentifiziert, ist eine Windows-Anmeldung. Sie können die Kennwortrichtlinie für Ihre Windows-Anmeldungen in Active Directory konfigurieren. Weitere Informationen finden Sie unter Arbeiten mit Active Directory mit RDS für SQL Server.

Richtlinie für jede Anmeldung aktivieren und deaktivieren

Jede SQL Server-Anmeldung hat Flags für CHECK_POLICY undCHECK_EXPIRATION. Standardmäßig werden neue Logins mit CHECK_POLICY set to ON und CHECK_EXPIRATION set to OFF erstellt.

Wenn CHECK_POLICY es für eine Anmeldung aktiviert ist, überprüft RDS for SQL Server das Passwort anhand der Anforderungen an Komplexität und Mindestlänge. Es gelten auch Sperrrichtlinien. Ein Beispiel für eine T-SQL-Anweisung zum Aktivieren CHECK_POLICY und: CHECK_EXPIRATION 

ALTER LOGIN [master_user] WITH CHECK_POLICY = ON, CHECK_EXPIRATION = ON;

Wenn diese Option aktiviert CHECK_EXPIRATION ist, unterliegen Passwörter den Richtlinien für das Alter von Passwörtern. Die T-SQL-Anweisung, mit der überprüft werden soll, ob CHECK_POLICY und gesetzt CHECK_EXPIRATION sind:

SELECT name, is_policy_checked, is_expiration_checked FROM sys.sql_logins;

Parameter für die Passwortrichtlinie

Alle Kennwortrichtlinienparameter sind dynamisch und erfordern keinen DB-Neustart, um wirksam zu werden. In der folgenden Tabelle sind die DB-Parameter aufgeführt, die Sie festlegen können, um die Kennwortrichtlinie für SQL Server-Logins zu ändern:

DB-Parameter Beschreibung Zulässige Werte Standardwert
rds.password_complexity_enabled Beim Erstellen oder Ändern von Kennwörtern für SQL Server-Logins müssen die Anforderungen an die Kennwortkomplexität erfüllt sein. Die folgenden Einschränkungen müssen erfüllt sein:

  • Das Passwort muss Zeichen aus drei der folgenden Kategorien enthalten:

    • Lateinischer Kleinbuchstabe (A bis Z)

    • Lateinischer Großbuchstabe (A bis Z)

    • Nicht-alphanumerische Zeichen wie: Ausrufezeichen (!) , Dollarzeichen ($), Zahlenzeichen (#) oder Prozent (%).

  • Das Passwort enthält nicht den Kontonamen des Benutzers.

 0,1 0
rds.password_min_length Die Mindestanzahl an Zeichen, die ein Kennwort für eine SQL Server-Anmeldung benötigt. 0-14 0
rds.password_min_age Die Mindestanzahl von Tagen, für die ein SQL Server-Anmeldekennwort verwendet werden muss, bevor der Benutzer es ändern kann. Passwörter können sofort geändert werden, wenn sie auf 0 gesetzt sind. 0-998 0
rds.password_max_age

Die maximale Anzahl von Tagen, für die ein SQL Server-Anmeldekennwort verwendet werden kann. Danach muss der Benutzer es ändern. Passwörter laufen nie ab, wenn sie auf 0 gesetzt sind.

 0-999 42
rds.password_lockout_threshold Die Anzahl aufeinanderfolgender fehlgeschlagener Anmeldeversuche, die dazu führen, dass eine SQL Server-Anmeldung gesperrt wird. 0-999 0
rds.password_lockout_duration Die Anzahl der Minuten, die ein gesperrter SQL Server-Anmeldename warten muss, bevor er entsperrt wird. 1—60 10
rds.password_lockout_reset_counter_after Die Anzahl der Minuten, die nach einem fehlgeschlagenen Anmeldeversuch vergehen müssen, bis der Zähler für fehlgeschlagene Anmeldeversuche auf 0 zurückgesetzt wird. 1—60 10
Anmerkung

Weitere Informationen zur SQL Server-Passwortrichtlinie finden Sie unter Kennwortrichtlinie.

Die Richtlinien für Kennwortkomplexität und Mindestlänge gelten auch für DB-Benutzer in geschlossenen Datenbanken. Weitere Informationen finden Sie unter Enthaltene Datenbanken.

Die folgenden Einschränkungen gelten für die Kennwortrichtlinienparameter:

  • Der rds.password_min_age Parameter muss kleiner als seinrds.password_max_age parameter, sofern er nicht auf 0 gesetzt rds.password_max_age ist

  • Der rds.password_lockout_reset_counter_after Parameter muss kleiner oder gleich dem rds.password_lockout_duration Parameter sein.

  • Es rds.password_lockout_threshold ist auf 0 gesetzt rds.password_lockout_duration und gilt rds.password_lockout_reset_counter_after nicht.

Überlegungen zu bestehenden Logins

Nach der Änderung der Kennwortrichtlinie für eine Instanz werden bestehende Kennwörter für Anmeldungen nicht rückwirkend anhand der neuen Anforderungen an Komplexität und Länge von Passwörtern bewertet. Nur neue Passwörter werden anhand der neuen Richtlinie validiert.

SQL Server bewertet vorhandene Kennwörter auf ihre Altersanforderungen hin.

Es ist möglich, dass Kennwörter sofort ablaufen, sobald eine Kennwortrichtlinie geändert wurde. Wenn beispielsweise eine Anmeldung CHECK_EXPIRATION aktiviert wurde und ihr Passwort zuletzt vor 100 Tagen geändert wurde und Sie den rds.password_max_age Parameter auf 5 Tage setzen, läuft das Passwort sofort ab und der Anmelder muss sein Passwort beim nächsten Anmeldeversuch ändern.

Anmerkung

RDS für SQL Server unterstützt keine Richtlinien für den Kennwortverlauf. Verlaufsrichtlinien verhindern, dass Anmeldungen zuvor verwendete Passwörter wiederverwenden.

Überlegungen zu Multi-AZ-Bereitstellungen

Der Zähler für fehlgeschlagene Anmeldeversuche und der Sperrstatus für Multi-AZ-Instances werden nicht zwischen den Knoten repliziert. Falls eine Anmeldung beim Failover einer Multi-AZ-Instance gesperrt wird, ist es möglich, dass die Anmeldung auf dem neuen Knoten bereits entsperrt ist.