Изменение режима проверки подлинности сервера Change server authentication mode

Применимо к: Applies to: SQL Server SQL Server (все поддерживаемые версии) SQL Server SQL Server (all supported versions) Применимо к: Applies to: SQL Server SQL Server (все поддерживаемые версии) SQL Server SQL Server (all supported versions)

В этом разделе описывается, как изменить режим проверки подлинности сервера в SQL Server SQL Server с помощью среды SQL Server Management Studio SQL Server Management Studio или Transact-SQL Transact-SQL . This topic describes how to change the server authentication mode in SQL Server SQL Server by using SQL Server Management Studio SQL Server Management Studio or Transact-SQL Transact-SQL . В процессе установки компонент Компонент SQL Server Database Engine SQL Server Database Engine настраивается на использование режима проверки подлинности Windows или режима проверки подлинности SQL Server и Windows. During installation, Компонент SQL Server Database Engine SQL Server Database Engine is set to either Windows Authentication mode or SQL Server and Windows Authentication mode. После установки вы можете изменить режим проверки подлинности в любое время. After installation, you can change the authentication mode at any time.

Если во время установки был выбран Режим проверки подлинности Windows , то имя входа sa отключено, а пароль присваивается программой установки. If Windows Authentication mode is selected during installation, the sa login is disabled and a password is assigned by setup. Если впоследствии изменить режим проверки подлинности на проверку подлинности SQL Server и Windows, то имя входа sa останется отключенным. If you later change authentication mode to SQL Server and Windows Authentication mode, the sa login remains disabled. Чтобы можно было пользоваться именем входа sa, включите его и присвойте ему новый пароль с помощью инструкции ALTER LOGIN. To use the sa login, use the ALTER LOGIN statement to enable the sa login and assign a new password. Имя входа sa может подключаться к серверу только с использованием проверки подлинности SQL Server SQL Server . The sa login can only connect to the server by using SQL Server SQL Server Authentication.

Перед началом Before you begin

Учетная запись sa — хорошо известная учетная запись SQL Server SQL Server и часто становится мишенью злоумышленников. The sa account is a well known SQL Server SQL Server account and it is often targeted by malicious users. Не включайте учетную запись sa, если это не требуется для работы приложения. Do not enable the sa account unless your application requires it. Для имени входа sa очень важно использовать надежный пароль. It is important that you use a strong password for the sa login.

Изменение режима проверки подлинности с помощью SSMS Change authentication mode with SSMS

В обозревателе объектов среды SQL Server Management Studio SQL Server Management Studio щелкните правой кнопкой мыши сервер и выберите пункт Свойства. In SQL Server Management Studio SQL Server Management Studio Object Explorer, right-click the server, and then click Properties.

На странице Безопасность , в разделе Серверная проверка подлинности выберите новый режим проверки подлинности сервера, а затем нажмите кнопку ОК. On the Security page, under Server authentication, select the new server authentication mode, and then click OK.

В диалоговом окне среды SQL Server Management Studio SQL Server Management Studio нажмите кнопку ОК , чтобы подтвердить необходимость перезапуска SQL Server SQL Server . In the SQL Server Management Studio SQL Server Management Studio dialog box, click OK to acknowledge the requirement to restart SQL Server SQL Server .

В обозревателе объектов щелкните правой кнопкой мыши сервер и выберите пункт Перезапустить. In Object Explorer, right-click your server, and then click Restart. Если работает агент SQL Server SQL Server , он тоже должен быть перезапущен. If SQL Server SQL Server Agent is running, it must also be restarted.

Включение имени входа sa Enable sa login

Имя входа sa можно включить с помощью SSMS или T-SQL. You can enable the sa login with SSMS or T-SQL.

использование SSMS; Use SSMS

В обозревателе объектов разверните узел Безопасность, разверните «Имена входа», щелкните правой кнопкой мыши имя входа sa и выберите Свойства. In Object Explorer, expand Security, expand Logins, right-click sa, and then click Properties.

На вкладке Общие, возможно, придется создать и подтвердить пароль для имени входа sa. On the General page, you might have to create and confirm a password for the sa login.

На странице Состояние в разделе Имя входа щелкните Включить и нажмите кнопку ОК. On the Status page, in the Login section, click Enabled, and then click OK.

Использование Transact-SQL Using Transact-SQL

В следующем примере включается имя входа sa и устанавливается новый пароль. The following example enables the sa login and sets a new password. Замените надежным паролем. Replace with a strong password before you run it.

Изменение режима проверки подлинности (T-SQL) Change authentication mode (T-SQL)

В следующем примере проверка подлинности сервера переключается со смешанного режима (Windows + SQL) на Windows. The following example changes Server Authentication from mixed mode (Windows + SQL) to Windows only.

В следующем примере для изменения реестра сервера используется расширенная хранимая процедура. The following example uses an extended stored procedure to modify the server registry. При неправильном изменении реестра могут возникнуть серьезные проблемы. Serious problems might occur if you modify the registry incorrectly. В результате может потребоваться переустановка операционной системы. These problems might require you to reinstall the operating system. Корпорация Майкрософт не гарантирует, что эти проблемы можно устранить. Microsoft cannot guarantee that these problems can be resolved. Ответственность за изменение реестра лежит на пользователе. Modify the registry at your own risk.

Для изменения режима аутентификации необходимы разрешения системного администратора или сервера контроля The permissions required to change the authentication mode are sysadmin or Control Server

Руководство. Подключение с помощью проверки подлинности Windows How to: Connect Using Windows Authentication

Скачать драйвер PHP Download PHP Driver

По умолчанию Драйверы Microsoft SQL Server для PHP Microsoft Drivers for PHP for SQL Server использует для подключения к серверу проверку подлинности Windows. By default, the Драйверы Microsoft SQL Server для PHP Microsoft Drivers for PHP for SQL Server use Windows Authentication to connect to SQL Server. Следует отметить, что в большинстве случаев это значит, что для подключения к серверу используется удостоверение процесса или удостоверение потока веб-сервера (если веб-сервер использует олицетворение), а не удостоверение конечного пользователя. It is important to note that in most scenarios, this means that the Web server’s process identity or thread identity (if the Web server is using impersonation) is used to connect to the server, not an end-user’s identity.

При использовании проверки подлинности Windows для подключения к SQL Server необходимо учитывать следующие аспекты. The following points must be considered when you use Windows Authentication to connect to SQL Server:

Для установки соединения учетные данные, с которыми выполняется процесс (или поток) веб-сервера, должны соответствовать допустимому имени входа SQL Server. The credentials under which the Web server’s process (or thread) is running must map to a valid SQL Server login in order to establish a connection.

Если SQL Server и веб-сервер находятся на разных компьютерах, необходимо настроить SQL Server для поддержки удаленных подключений. If SQL Server and the Web server are on different computers, SQL Server must be configured to enable remote connections.

Атрибуты соединения, такие как Database и ConnectionPooling , можно задать при установке соединения. Connection attributes such as Database and ConnectionPooling can be set when you establish a connection. Полный список поддерживаемых атрибутов соединения см. в статье Connection Options. For a complete list of supported connection attributes, see Connection Options.

Для подключения к SQL Server следует по возможности использовать проверку подлинности Windows по следующим причинам. Windows Authentication should be used to connect to SQL Server whenever possible for the following reasons:

Во время проверки подлинности по сети не передаются никакие учетные данные; имена пользователей и пароли не внедряются в строку подключения базы данных. No credentials are passed over the network during authentication; user names and passwords are not embedded in the database connection string. Это означает, что злоумышленники или пользователи-злоумышленники не смогут получить учетные данные путем мониторинга сети или просмотра строк подключения в файлах конфигурации. This means that malicious users or attackers cannot obtain the credentials by monitoring the network or by viewing connection strings inside configuration files.

На пользователей распространяется централизованное управление учетными записями, применяются политики безопасности, касающиеся, например, сроков действия паролей, минимальной длины паролей и блокировки учетных записей после нескольких неудачных запросов на вход. Users are subject to centralized account management; security policies such as password expiration periods, minimum password lengths, and account lockout after multiple invalid logon requests are enforced.

Если использование проверки подлинности Windows не является целесообразным, см. практическое руководство по подключению с использованием проверки подлинности SQL Server. If Windows Authentication is not a practical option, see How to: Connect Using SQL Server Authentication.

Пример SQLSRV SQLSRV example

Благодаря драйверу SQLSRV Драйверы Microsoft SQL Server для PHP Microsoft Drivers for PHP for SQL Server следующий пример использует проверку подлинности Windows для подключения к локальному экземпляру SQL Server. Using the SQLSRV driver of the Драйверы Microsoft SQL Server для PHP Microsoft Drivers for PHP for SQL Server , the following example uses the Windows Authentication to connect to a local instance of SQL Server. После установки соединения на сервер отправляет запрос имени входа пользователя, осуществляющего доступ к базе данных. After the connection has been established, the server is queried for the login of the user who is accessing the database.

В примере предполагается, что SQL Server и базы данных AdventureWorks установлены на локальном компьютере. The example assumes that SQL Server and the AdventureWorks database are installed on the local computer. При выполнении примера в браузере все выходные данные выводятся в браузер. All output is written to the browser when the example is run from the browser.

Пример PDO_SQLSRV PDO_SQLSRV example

Следующий пример использует драйвер PDO_SQLSRV для выполнения той же задачи, что и в предыдущем примере. The following example uses the PDO_SQLSRV driver to accomplish the same task as the previous sample.

Выбор режима проверки подлинности Choose an Authentication Mode

Применимо к: Applies to: SQL Server SQL Server (все поддерживаемые версии) SQL Server SQL Server (all supported versions) Применимо к: Applies to: SQL Server SQL Server (все поддерживаемые версии) SQL Server SQL Server (all supported versions)

Во время процесса установки следует выбрать режим проверки подлинности для компонента Компонент Database Engine Database Engine . During setup, you must select an authentication mode for the Компонент Database Engine Database Engine . Существует два возможных режима: режим проверки подлинности Windows и смешанный режим. There are two possible modes: Windows Authentication mode and mixed mode. Режим проверки подлинности Windows включает проверку подлинности Windows и отключает проверку подлинности SQL Server SQL Server . Windows Authentication mode enables Windows Authentication and disables SQL Server SQL Server Authentication. В смешанном режиме включены как проверка подлинности Windows, так и проверка подлинности SQL Server SQL Server . Mixed mode enables both Windows Authentication and SQL Server SQL Server Authentication. Проверка подлинности Windows доступна всегда, и отключить ее нельзя. Windows Authentication is always available and cannot be disabled.

Настройка режима проверки подлинности Configuring the Authentication Mode

Если во время установки был выбран смешанный режим проверки подлинности, необходимо задать и подтвердить надежный пароль для встроенной учетной записи системного администратора SQL Server SQL Server с именем sa. If you select Mixed Mode Authentication during setup, you must provide and then confirm a strong password for the built-in SQL Server SQL Server system administrator account named sa. Учетная запись sa устанавливает соединения с помощью проверки подлинности SQL Server SQL Server . The sa account connects by using SQL Server SQL Server Authentication.

Если во время установки была выбрана проверка подлинности Windows, программа установки создаст учетную запись sa для проверки подлинности SQL Server SQL Server , но она будет отключена. If you select Windows Authentication during setup, Setup creates the sa account for SQL Server SQL Server Authentication but it is disabled. Если позже переключиться на смешанный режим проверки подлинности и потребуется учетная запись sa, ее будет нужно включить. If you later change to Mixed Mode Authentication and you want to use the sa account, you must enable the account. Любая учетная запись Windows или SQL Server SQL Server может быть настроена в качестве системного администратора. Any Windows or SQL Server SQL Server account can be configured as a system administrator. Поскольку учетная запись sa широко известна и часто является целью злонамеренных пользователей, ее не рекомендуется включать (за исключением тех случаев, когда это необходимо приложению). Because the sa account is well known and often targeted by malicious users, do not enable the sa account unless your application requires it. Никогда не указывайте пустой или простой пароль для учетной записи sa. Never set a blank or weak password for the sa account. Сведения о переключении проверки подлинности Windows на смешанный режим проверки подлинности и использовании проверки подлинности SQL Server SQL Server см. в статье Изменение режима проверки подлинности сервера. To change from Windows Authentication mode to Mixed Mode Authentication and use SQL Server SQL Server Authentication, see Change Server Authentication Mode.

Соединение с использованием проверки подлинности Windows Connecting Through Windows Authentication

Когда пользователь выполняет подключение под пользовательской учетной записью Windows, SQL Server SQL Server проверяет имя учетной записи и пароль с помощью токена участника Windows в операционной системе. When a user connects through a Windows user account, SQL Server SQL Server validates the account name and password using the Windows principal token in the operating system. Это означает, что удостоверение пользователя было подтверждено Windows. This means that the user identity is confirmed by Windows. SQL Server SQL Server не запрашивает пароль и не выполняет проверку удостоверения. does not ask for the password, and does not perform the identity validation. Проверка подлинности Windows является проверкой подлинности по умолчанию; она обеспечивает более высокий уровень безопасности, чем проверка подлинности SQL Server SQL Server . Windows Authentication is the default authentication mode, and is much more secure than SQL Server SQL Server Authentication. Режим проверки подлинности Windows использует протокол безопасности Kerberos, реализует политику паролей в отношении проверки сложности надежных паролей, поддерживает блокировку учетных записей и истечение срока пароля. Windows Authentication uses Kerberos security protocol, provides password policy enforcement with regard to complexity validation for strong passwords, provides support for account lockout, and supports password expiration. Соединение, установленное с помощью проверки подлинности Windows, иногда называется доверительным соединением, поскольку SQL Server SQL Server доверяет учетным данным, предоставляемым Windows. A connection made using Windows Authentication is sometimes called a trusted connection, because SQL Server SQL Server trusts the credentials provided by Windows.

С помощью проверки подлинности Windows можно создать группы Windows на уровне домена, а имя входа можно создать на уровне SQL Server SQL Server для всей группы. By using Windows Authentication, Windows groups can be created at the domain level, and a login can be created on SQL Server SQL Server for the entire group. Управление доступом на уровне домена позволяет упростить администрирование учетных записей. Managing access from at the domain level can simplify account administration.

По возможности используйте аутентификацию Windows. When possible, use Windows authentication.

Соединение с использованием проверки подлинности SQL Server Connecting Through SQL Server Authentication

Если используется проверка подлинности SQL Server SQL Server , в SQL Server SQL Server создаются имена входа, которые не основаны на учетных записях пользователей Windows. When using SQL Server SQL Server Authentication, logins are created in SQL Server SQL Server that are not based on Windows user accounts. И имя пользователя, и пароль создаются с помощью SQL Server SQL Server и хранятся в SQL Server SQL Server . Both the user name and the password are created by using SQL Server SQL Server and stored in SQL Server SQL Server . Пользователи, подключающиеся с помощью проверки подлинности SQL Server SQL Server , должны предоставлять свои учетные данные (имя входа и пароль) каждый раз при установке соединения. Users connecting using SQL Server SQL Server Authentication must provide their credentials (login and password) every time that they connect. При использовании проверки подлинности SQL Server SQL Server необходимо задавать надежные пароли для всех учетных записей SQL Server SQL Server . When using SQL Server SQL Server Authentication, you must set strong passwords for all SQL Server SQL Server accounts. Рекомендации по выбору надежного пароля см. в разделе Strong Passwords. For strong password guidelines, see Strong Passwords.

Для имен входа SQL Server SQL Server доступны три дополнительные политики паролей. Three optional password policies are available for SQL Server SQL Server logins.

Пользователь должен сменить пароль при следующем входе User must change password at next login

Требует, чтобы пользователь сменил пароль при следующем подключении. Requires the user to change the password the next time that the user connects. Сменить пароль можно с помощью среды SQL Server Management Studio SQL Server Management Studio . The ability to change the password is provided by SQL Server Management Studio SQL Server Management Studio . Если используется этот режим, сторонние разработчики программного обеспечения должны предоставлять данную функцию. Third-party software developers should provide this feature if this option is used.

Задать срок окончания действия пароля Enforce password expiration

Для имен входа SQL Server SQL Server будет принудительно реализовываться политика максимального возраста паролей. The maximum password age policy of the computer is enforced for SQL Server SQL Server logins.

Требовать использование политики паролей Enforce password policy

Для имен входа SQL Server SQL Server будут принудительно реализовываться политики паролей Windows. The Windows password policies of the computer are enforced for SQL Server SQL Server logins. Это включает длину и сложность паролей. This includes password length and complexity. Эта возможность обеспечивается API NetValidatePasswordPolicy , который доступен только в Windows Server 2003 Windows Server 2003 и более поздних версиях. This functionality depends on the NetValidatePasswordPolicy API, which is only available in Windows Server 2003 Windows Server 2003 and later versions.

Определение политик паролей на локальном компьютере To determine the password policies of the local computer

В меню Пуск выберите команду Выполнить. On the Start menu, click Run.

В диалоговом окне Выполнить введите secpol.msc, а затем нажмите кнопку ОК. In the Run dialog box, type secpol.msc, and then click OK.

В приложении Локальная политика безопасности разверните узлы Настройки безопасности и Политики учетных записей, затем щелкните Политика паролей. In the Local Security Settings application, expand Security Settings, expand Account Policies, and then click Password Policy.

Политики паролей будут описаны в панели результатов. The password policies are described in the results pane.

Недостатки проверки подлинности SQL Server Disadvantages of SQL Server Authentication

Если пользователь является пользователем домена Windows, имеющим имя входа и пароль Windows, то для подключения он все равно должен предоставить другое имя входа и пароль ( SQL Server SQL Server ). If a user is a Windows domain user who has a login and password for Windows, they must still provide another ( SQL Server SQL Server ) login and password to connect. Многим пользователям сложно помнить несколько имен входа и паролей. Keeping track of multiple names and passwords is difficult for many users. Необходимость предоставлять учетные данные SQL Server SQL Server при каждом подключении к базе данных может раздражать. Having to provide SQL Server SQL Server credentials every time that one connects to the database can be annoying.

SQL Server SQL Server не может использоваться протокол безопасности Kerberos. Authentication cannot use Kerberos security protocol.

ОС Windows предоставляет дополнительные политики паролей, недоступные для имен входа SQL Server SQL Server . Windows offers additional password policies that are not available for SQL Server SQL Server logins.

Зашифрованный пароль имени входа для проверки подлинности SQL Server SQL Server необходимо передавать по сети во время установления соединения. The encrypted SQL Server SQL Server Authentication login password, must be passed over the network at the time of the connection. Некоторые приложения, которые устанавливают соединение автоматически, сохраняют пароль на клиенте. Some applications that connect automatically will store the password at the client. Эти дополнительные точки, на которые может быть направлена атака. These are additional attack points.

Преимущества проверки подлинности SQL Server Advantages of SQL Server Authentication

Позволяет SQL Server SQL Server поддерживать более старые приложения и приложения, поставляемые сторонними производителями, для которых необходима проверка подлинности SQL Server SQL Server . Allows SQL Server SQL Server to support older applications and applications provided by third parties that require SQL Server SQL Server Authentication.

Позволяет SQL Server SQL Server поддерживать среды с несколькими операционными системами, в которых пользователи не проходят проверку подлинности домена Windows. Allows SQL Server SQL Server to support environments with mixed operating systems, where all users are not authenticated by a Windows domain.

Позволяет пользователям устанавливать соединения из неизвестных или недоверенных доменов. Allows users to connect from unknown or untrusted domains. Например, в приложении, в котором клиенты подключаются с выделенными именами входа SQL Server SQL Server , чтобы получить состояние их заказов. For instance, an application where established customers connect with assigned SQL Server SQL Server logins to receive the status of their orders.

Позволяет SQL Server SQL Server поддерживать веб-приложения, в которых пользователи сами создают собственные удостоверения. Allows SQL Server SQL Server to support Web-based applications where users create their own identities.

Позволяет разработчикам программного обеспечения распространять свои приложения с помощью сложной иерархии разрешений, основанной на известных, заранее установленных именах входа SQL Server SQL Server . Allows software developers to distribute their applications by using a complex permission hierarchy based on known, preset SQL Server SQL Server logins.

Использование проверки подлинности SQL Server SQL Server не ограничивает разрешения локальных администраторов на компьютере, на котором установлен SQL Server SQL Server . Using SQL Server SQL Server Authentication does not limit the permissions of local administrators on the computer where SQL Server SQL Server is installed.