Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo dei criteri di password per gli accessi a SQL Server su RDS per SQL Server
Amazon RDS ti consente di impostare la politica delle password per la tua istanza database Amazon RDS che esegue Microsoft SQL Server. Usala per impostare i requisiti di complessità, lunghezza e blocco per gli accessi che utilizzano l'autenticazione di SQL Server per l'autenticazione sulla tua istanza DB.
Termini chiave
- Login
-
In SQL Server, un principale a livello di server che può autenticarsi su un'istanza di database viene definito login. Altri motori di database potrebbero fare riferimento a questo principio come utente. In RDS per SQL Server, un accesso può autenticarsi utilizzando l'autenticazione di SQL Server o l'autenticazione di Windows.
- Accesso a SQL Server
-
Un accesso che utilizza un nome utente e una password per l'autenticazione tramite l'autenticazione di SQL Server è un accesso a SQL Server. La politica di password configurata tramite i parametri DB si applica solo agli accessi di SQL Server.
- Accesso a Windows
-
Un accesso basato su un principio di Windows e autenticato tramite l'autenticazione di Windows è un accesso di Windows. È possibile configurare la politica delle password per gli accessi a Windows in Active Directory. Per ulteriori informazioni, consulta Utilizzo di Active Directory con RDS per SQL Server.
Politica di attivazione e disabilitazione per ogni accesso
Ogni accesso a SQL Server ha contrassegni per e. CHECK_POLICY CHECK_EXPIRATION Per impostazione predefinita, i nuovi accessi vengono creati con CHECK_POLICY set to ON e CHECK_EXPIRATION impostato su. OFF
Se CHECK_POLICY è abilitato per l'accesso, RDS per SQL Server convalida la password in base ai requisiti di complessità e lunghezza minima. Si applicano anche le politiche di blocco. Un esempio di istruzione T-SQL da abilitare CHECK_POLICY e: CHECK_EXPIRATION
ALTER LOGIN [master_user] WITH CHECK_POLICY = ON, CHECK_EXPIRATION = ON;
Se CHECK_EXPIRATION è abilitata, le password sono soggette alle politiche relative all'età delle password. L'istruzione T-SQL per verificare se CHECK_POLICY e CHECK_EXPIRATION sono impostati:
SELECT name, is_policy_checked, is_expiration_checked FROM sys.sql_logins;
Parametri della politica delle password
Tutti i parametri della politica in materia di password sono dinamici e non richiedono il riavvio del DB per avere effetto. La tabella seguente elenca i parametri DB che è possibile impostare per modificare la politica delle password per gli accessi a SQL Server:
| Parametro DB | Descrizione | Valori consentiti | Valore predefinito |
|---|---|---|---|
| rds.password_complexity_enabled | I requisiti di complessità delle password devono essere soddisfatti durante la creazione o la modifica delle password per gli accessi a SQL Server. È necessario soddisfare i seguenti vincoli:
|
0,1 | 0 |
| rds.password_min_length | Il numero minimo di caratteri richiesto in una password per un accesso a SQL Server. | 0-14 | 0 |
| rds.password_min_age | È necessario utilizzare il numero minimo di giorni in cui è necessario utilizzare la password di accesso di SQL Server prima che l'utente possa modificarla. Le password possono essere modificate immediatamente se impostate su 0. | 0-998 | 0 |
| rds.password_max_age | È possibile utilizzare il numero massimo di giorni in cui è possibile utilizzare la password di accesso di SQL Server, trascorsi i quali l'utente deve modificarla. Le password non scadono mai se impostate su 0. |
0-999 | 42 |
| rds.password_lockout_threshold | Il numero di tentativi di accesso consecutivi non riusciti che causano il blocco di un accesso a SQL Server. | 0-999 | 0 |
| rds.password_lockout_duration | Il numero di minuti che un accesso bloccato a SQL Server deve attendere prima di essere sbloccato. | 1-60 | 10 |
| rds.password_lockout_reset_counter_after | Il numero di minuti che devono trascorrere dopo un tentativo di accesso fallito prima che il contatore dei tentativi di accesso falliti venga reimpostato su 0. | 1-60 | 10 |
Nota
Per ulteriori informazioni sulla politica delle password di SQL Server, vedere Politica delle password
Le politiche relative alla complessità e alla lunghezza minima delle password si applicano anche agli utenti del DB nei database contenuti. Per ulteriori informazioni, vedere Database contenuti
I seguenti vincoli si applicano ai parametri della politica in materia di password:
-
Il
rds.password_min_ageparametro deve essere minore dirds.password_max_age parameter, a meno che nonrds.password_max_agesia impostato su 0 -
Il
rds.password_lockout_reset_counter_afterparametro deve essere minore o uguale alrds.password_lockout_durationparametro. -
rds.password_lockout_thresholdÈ impostato su 0rds.password_lockout_durationerds.password_lockout_reset_counter_afternon si applica.
Considerazioni sugli accessi esistenti
Dopo aver modificato la politica in materia di password su un'istanza, le password esistenti per gli accessi non vengono valutate retroattivamente rispetto ai nuovi requisiti di complessità e lunghezza delle password. Solo le nuove password vengono convalidate in base alla nuova politica.
SQL Server valuta le password esistenti in base ai requisiti di età.
È possibile che le password scadano immediatamente dopo la modifica dei criteri relativi alle password. Ad esempio, se un accesso è CHECK_EXPIRATION abilitato e la relativa password è stata modificata l'ultima volta 100 giorni fa e si imposta il rds.password_max_age parametro su 5 giorni, la password scade immediatamente e l'utente deve modificare la password al successivo tentativo di accesso.
Nota
RDS per SQL Server non supporta i criteri di cronologia delle password. I criteri di cronologia impediscono agli accessi di riutilizzare le password utilizzate in precedenza.
Considerazioni per le implementazioni Multi-AZ
Il contatore dei tentativi di accesso falliti e lo stato di blocco per le istanze Multi-AZ non si replicano tra i nodi. Nel caso in cui un accesso venga bloccato durante il failover di un'istanza Multi-AZ, è possibile che l'accesso sia già sbloccato sul nuovo nodo.
