Verwenden der Passwortrichtlinie für SQL-Server-Anmeldungen bei RDS für SQL Server - Amazon Relational Database Service
Wichtige BegriffeAktivieren und Deaktivieren der RichtlinieRichtlinienparameter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden der Passwortrichtlinie für SQL-Server-Anmeldungen bei RDS für SQL Server

Amazon RDS ermöglicht Ihnen, die Passwortrichtlinie für Ihre Amazon-RDS-DB-Instance festzulegen, auf der Microsoft SQL Server ausgeführt wird. Verwenden Sie diese Richtlinie, um die Komplexität, Länge und Sperranforderungen für Anmeldungen festzulegen, die die SQL-Server-Authentifizierung zur Authentifizierung bei Ihrer DB-Instance nutzen.

Wichtige Begriffe

Anmeldung

In SQL Server wird ein Prinzipal auf Serverebene, der sich bei einer Datenbank-Instance authentifizieren kann, als Anmeldung bezeichnet. Bei anderen Datenbank-Engines wird dieser Prinzipal möglicherweise als Benutzer bezeichnet. In RDS für SQL Server kann eine Anmeldung mithilfe der SQL-Server-Authentifizierung oder der Windows-Authentifizierung authentifiziert werden.

SQL-Server-Anmeldung

Eine Anmeldung, die einen Benutzernamen und ein Passwort zur Authentifizierung mithilfe der SQL-Server-Authentifizierung verwendet, ist eine SQL-Server-Anmeldung. Die Passwortrichtlinie, die Sie mittels DB-Parameter konfigurieren, gilt nur für SQL-Server-Anmeldungen.

Windows-Anmeldung

Eine Anmeldung, die auf einem Windows-Prinzipal basiert und mithilfe der Windows-Authentifizierung authentifiziert wird, ist eine Windows-Anmeldung. Sie können die Passwortrichtlinie für Ihre Windows-Anmeldungen in Active Directory konfigurieren. Weitere Informationen finden Sie unter Arbeiten mit Active Directory mit RDS für SQL Server.

Aktivieren und Deaktivieren der Richtlinie für die jeweilige Anmeldung

Jede SQL-Server-Anmeldung hat Flags für CHECK_POLICY und CHECK_EXPIRATION. Standardmäßig werden neue Anmeldungen mit CHECK_POLICY festgelegt auf ON und CHECK_EXPIRATIONfestgelegt auf OFF erstellt.

Wenn CHECK_POLICY für eine Anmeldung aktiviert ist, wird in RDS für SQL Server das Passwort anhand der Komplexitäts- und Mindestlängenanforderungen überprüft. Gegebenenfalls gelten die Sperrungsrichtlinien. Beispiel für eine T-SQL-Anweisung zum Aktivieren von CHECK_POLICY und CHECK_EXPIRATION: 

ALTER LOGIN [master_user] WITH CHECK_POLICY = ON, CHECK_EXPIRATION = ON;

Wenn CHECK_EXPIRATION aktiviert ist, unterliegen Passwörter den Richtlinien für das Passwortalter. T-SQL-Anweisung, mit der überprüft wird, ob CHECK_POLICY und CHECK_EXPIRATION festgelegt wurden:

SELECT name, is_policy_checked, is_expiration_checked FROM sys.sql_logins;

Parameter für die Passwortrichtlinie

Alle Parameter für die Passwortrichtlinie sind dynamisch und erfordern keinen DB-Neustart, damit sie wirksam werden. In der folgenden Tabelle sind die DB-Parameter aufgeführt, die Sie festlegen können, um die Passwortrichtlinie für SQL-Server-Anmeldungen zu ändern:

DB-Parameter Beschreibung Zulässige Werte Standardwert
rds.password_complexity_enabled Beim Erstellen oder Ändern von Passwörtern für SQL-Server-Anmeldungen müssen die Anforderungen an die Passwortkomplexität erfüllt sein. Die folgenden Einschränkungen müssen erfüllt sein:

  • Das Passwort muss Zeichen aus drei der folgenden Kategorien enthalten:

    • Lateinischer Kleinbuchstabe (a bis z)

    • Lateinischer Großbuchstabe (A bis Z)

    • Sonderzeichen wie: Ausrufezeichen (!), Dollarzeichen ($), Zahlenzeichen (#) oder Prozent (%).

  • Das Passwort darf nicht den Kontonamen des Benutzers enthalten.

 0, 1 0
rds.password_min_length Die Mindestanzahl von Zeichen, die ein Passwort für eine SQL-Server-Anmeldung benötigt. 0–14 0
rds.password_min_age Die Mindestanzahl von Tagen, die ein SQL-Server-Anmeldepasswort verwendet werden muss, bevor der Benutzer es ändern kann. Passwörter können sofort geändert werden, wenn sie auf 0 festgelegt sind. 0–998 0
rds.password_max_age

Die maximale Anzahl von Tagen, die ein SQL-Server-Anmeldepasswort verwendet werden kann. Danach muss der Benutzer es ändern. Passwörter laufen nie ab, wenn sie auf 0 festgelegt sind.

 0–999 42
rds.password_lockout_threshold Die Anzahl aufeinanderfolgender fehlgeschlagener Anmeldeversuche, die dazu führen, dass eine SQL-Server-Anmeldung gesperrt wird. 0–999 0
rds.password_lockout_duration Die Anzahl der Minuten, die eine gesperrte SQL-Server-Anmeldung warten muss, bevor sie entsperrt wird. 1–60 10
rds.password_lockout_reset_counter_after Die Anzahl der Minuten, die nach einem fehlgeschlagenen Anmeldeversuch vergehen müssen, bis der Zähler für fehlgeschlagene Anmeldeversuche auf 0 zurückgesetzt wird. 1–60 10
Anmerkung

Weitere Informationen zur SQL-Server-Passwortrichtlinie finden Sie unter Passwortrichtlinie.

Die Richtlinien für die Komplexität und Mindestlänge von Passwörtern gelten auch für DB-Benutzer in eingebundenen Datenbanken. Weitere Informationen finden Sie unter Eingebundene Datenbanken.

Die folgenden Einschränkungen gelten für die Parameter der Passwortrichtlinie:

  • Der Parameter rds.password_min_age muss kleiner als rds.password_max_age parameter sein, sofern rds.password_max_age nicht auf 0 festgelegt ist.

  • Der Parameter rds.password_lockout_reset_counter_after muss kleiner als oder gleich dem Parameter rds.password_lockout_duration sein.

  • Wenn rds.password_lockout_threshold auf 0 festgelegt ist, gelten rds.password_lockout_duration und rds.password_lockout_reset_counter_after nicht.

Überlegungen zu vorhandenen Anmeldungen

Nach der Änderung der Passwortrichtlinie für eine Instance werden vorhandene Passwörter für Anmeldungen nicht rückwirkend anhand der neuen Komplexitäts- und Längenanforderungen von Passwörtern bewertet. Es werden nur neue Passwörter anhand der neuen Richtlinie validiert.

SQL Server bewertet vorhandene Passwörter hinsichtlich ihrer Altersanforderungen.

Es ist möglich, dass Passwörter sofort ablaufen, sobald eine Passwortrichtlinie geändert wurde. Wenn beispielsweise für eine Anmeldung CHECK_EXPIRATION aktiviert ist, das Passwort zuletzt vor 100 Tagen geändert wurde und Sie den Parameter rds.password_max_age auf 5 Tage festlegen, läuft das Passwort sofort ab, sodass das Anmeldepasswort beim nächsten Anmeldeversuch geändert werden muss.

Anmerkung

RDS für SQL Server unterstützt keine Passwortverlaufsrichtlinien. Verlaufsrichtlinien verhindern, dass Anmeldungen zuvor benutzte Passwörter wiederverwenden.

Überlegungen zu Multi-AZ-Bereitstellungen

Die Zähler für fehlgeschlagene Anmeldeversuche und die Sperrstatus für Multi-AZ-Instances werden nicht zwischen den Knoten repliziert. Falls eine Anmeldung beim Failover einer Multi-AZ-Instance gesperrt wird, kann es vorkommen, dass die Anmeldung auf dem neuen Knoten bereits entsperrt ist.