Настройка методов проверки подлинности Configure Authentication Methods

Область применения Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

В этой процедуре показано, как настроить методы проверки подлинности, которые могут использоваться компьютерами в изолированном домене или изолированной зоне изолированного сервера. This procedure shows you how to configure the authentication methods that can be used by computers in an isolated domain or standalone isolated server zone.

Примечание. Если вы выполните действия, которые вы выполните в этой процедуре, измените параметры по умолчанию для всей системы. Note: If you follow the steps in the procedure in this topic, you alter the system-wide default settings. Любое правило безопасности подключения может использовать эти параметры, указав значение Default на вкладке «Проверка подлинности». Any connection security rule can use these settings by specifying Default on the Authentication tab.

Учетные данные администратора Administrative credentials

Для выполнения этих процедур необходимо быть членом группы «Администраторы домена» или получить другие делегирование разрешений на изменение таких групп. To complete these procedures, you must be a member of the Domain Administrators group, or otherwise be delegated permissions to modify the GPOs.

Настройка методов проверки подлинности To configure authentication methods

Откройте консоль управления групповыми политиками для Защитник Windows брандмауэра с расширенными мерами безопасности. Open the Group Policy Management Console to Windows Defender Firewall with Advanced Security.

В области сведений на главной странице Защитник Windows брандмауэра с расширенным безопасностью щелкните Защитник Windows брандмауэра. In the details pane on the main Windows Defender Firewall with Advanced Security page, click Windows Defender Firewall Properties.

На вкладке «Параметры IPsec» нажмите кнопку «Настроить». On the IPsec Settings tab, click Customize.

В разделе «Метод проверки подлинности» выберите тип проверки подлинности, который необходимо использовать, из следующих ок. In the Authentication Method section, select the type of authentication that you want to use from among the following:

По умолчанию. Default. Выбор этого параметра указывает компьютеру использовать метод проверки подлинности, который в настоящее время определен локальным администратором в брандмауэре Защитник Windows брандмауэре или групповой политике по умолчанию. Selecting this option tells the computer to use the authentication method currently defined by the local administrator in Windows Defender Firewall or by Group Policy as the default.

Компьютер и пользователь (с использованием Kerberos V5). Computer and User (using Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности компьютера и пользователя, во время входа в систему, с использованием учетных данных домена. Selecting this option tells the computer to use and require authentication of both the computer and the currently logged-on user by using their domain credentials.

Компьютер (с использованием Kerberos V5). Computer (using Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности компьютера с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает с другими компьютерами, которые могут использовать IKE версии 1, включая более ранние версии Windows. This option works with other computers that can use IKE v1, including earlier versions of Windows.

Пользователь (с использованием Kerberos V5). User (using Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности во время входа пользователя с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials.

Сертификат компьютера из этого сертификационного органа. Computer certificate from this certification authority. Выбор этого параметра и ввод идентификации в ЦС сообщает компьютеру о необходимости использования и необходимости проверки подлинности с помощью сертификата, выданного выбранным ЦС. Selecting this option and entering the identification of a certification authority (CA) tells the computer to use and require authentication by using a certificate that is issued by the selected CA. Если также **** выбрать «Принять только сертификаты для проверки подлинности», то для этого правила можно использовать только сертификаты, которые включают расширенный ключ проверки подлинности системы (EKU), обычно предоставляемый в инфраструктуре защиты сетевого доступа (NAP). If you also select Accept only health certificates, then only certificates that include the system health authentication enhanced key usage (EKU) typically provided in a Network Access Protection (NAP) infrastructure can be used for this rule.

Advanced. Advanced. Щелкните «Настроить», чтобы указать настраиваемую комбинацию методов проверки подлинности, необходимых для вашего сценария. Click Customize to specify a custom combination of authentication methods required for your scenario. Можно указать как первый, так и второй метод проверки подлинности. You can specify both a First authentication method and a Second authentication method.

Первый способ проверки подлинности может быть одним из следующих: The first authentication method can be one of the following:

Компьютер (Kerberos V5). Computer (Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности компьютера с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает с другими компьютерами, которые могут использовать IKE версии 1, включая более ранние версии Windows. This option works with other computers that can use IKE v1, including earlier versions of Windows.

Компьютер (NTLMv2). Computer (NTLMv2). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности компьютера с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the computer by using its domain credentials. Этот параметр работает только с другими компьютерами, которые могут использовать AuthIP. This option works only with other computers that can use AuthIP. Проверка подлинности на основе пользователя с помощью Kerberos V5 не поддерживается IKE 1. User-based authentication using Kerberos V5 is not supported by IKE v1.

Сертификат компьютера из этого ЦС. Computer certificate from this certification authority (CA). Выбор этого параметра и ввод идентификации ЦС сообщает компьютеру о необходимости использования и необходимости проверки подлинности с помощью сертификата, выданного этим ЦС. Selecting this option and entering the identification of a CA tells the computer to use and require authentication by using a certificate that is issued by that CA. Если также выбрать «Принять только сертификатыдля системы безопасности», можно использовать только сертификаты, выданные сервером NAP. If you also select Accept only health certificates, then only certificates issued by a NAP server can be used.

Предопламеновка ключа (не рекомендуется). Preshared key (not recommended). Выбор этого метода и ввод предшествует проверке подлинности компьютера путем обмена предшествует ключам. Selecting this method and entering a preshared key tells the computer to authenticate by exchanging the preshared keys. Если они совпадают, проверка подлинности будет успешной. If they match, then the authentication succeeds. Этот метод не рекомендуется и включен только для обеспечения обратной совместимости и тестирования. This method is not recommended, and is included only for backward compatibility and testing purposes.

Если выбрана первая проверка подлинностине является обязательной, подключение может быть успешным, даже если попытка проверки подлинности, указанная в этом столбце, не будет успешной. If you select First authentication is optional, then the connection can succeed even if the authentication attempt specified in this column fails.

Второй способ проверки подлинности может быть одним из следующих: The second authentication method can be one of the following:

Пользователь (Kerberos V5). User (Kerberos V5). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности во время входа пользователя с использованием его учетных данных домена. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials. Этот метод проверки подлинности работает только с другими компьютерами, которые могут использовать AuthIP. This authentication method works only with other computers that can use AuthIP. Проверка подлинности на основе пользователя с помощью Kerberos V5 не поддерживается IKE 1. User-based authentication using Kerberos V5 is not supported by IKE v1.

Пользователь (NTLMv2). User (NTLMv2). Выбор этого параметра сообщает компьютеру о необходимости использования и необходимости проверки подлинности во время входа пользователя с использованием его учетных данных домена и использовании протокола NTLMv2 вместо Kerberos V5. Selecting this option tells the computer to use and require authentication of the currently logged-on user by using his or her domain credentials, and uses the NTLMv2 protocol instead of Kerberos V5. Этот метод проверки подлинности работает только с другими компьютерами, которые могут использовать AuthIP. This authentication method works only with other computers that can use AuthIP. Проверка подлинности на основе пользователя с помощью Kerberos V5 не поддерживается IKE 1. User-based authentication using Kerberos V5 is not supported by IKE v1.

Сертификат о здоровье пользователя из этого ЦС. User health certificate from this certification authority (CA). Выбор этого параметра и ввод идентификации ЦС сообщает компьютеру о необходимости использования и необходимости проверки подлинности на основе пользователя с помощью сертификата, выданного указанным ЦС. Selecting this option and entering the identification of a CA tells the computer to use and require user-based authentication by using a certificate that is issued by the specified CA. Если также **** выбрать «Включить сопоставление сертификата с учетной записью», сертификат можно будет связывать с пользователем в Active Directory для предоставления или запрета доступа указанным пользователям или группам пользователей. If you also select Enable certificate to account mapping, then the certificate can be associated with a user in Active Directory for purposes of granting or denying access to specified users or user groups.

Сертификат о состоянии компьютера из этого ЦС. Computer health certificate from this certification authority (CA). Выбор этого параметра и ввод идентификации ЦС сообщает компьютеру о необходимости использования и необходимости проверки подлинности с помощью сертификата, выданного указанным ЦС. Selecting this option and entering the identification of a CA tells the computer to use and require authentication by using a certificate that is issued by the specified CA. Если также **** выбрать «Принять только сертификаты для проверки подлинности», то для этого правила можно использовать только сертификаты, которые включают EKU проверки подлинности системы, обычно предоставляемые в инфраструктуре NAP. If you also select Accept only health certificates, then only certificates that include the system health authentication EKU typically provided in a NAP infrastructure can be used for this rule.

Если выбрать вторую проверкуподлинности необязательно, подключение может быть успешным, даже если попытка проверки подлинности, указанная в этом столбце, не будет успешной. If you select Second authentication is optional, then the connection can succeed even if the authentication attempt specified in this column fails.

Важно! Убедитесь, что флажки не выбраны, чтобы сделать проверку подлинности как первой, так и второй необязательной. Important: Make sure that you do not select the check boxes to make both first and second authentication optional. Это позволяет использовать простые подключения при сбойе проверки подлинности. Doing so allows plaintext connections whenever authentication fails.

Нажмите кнопку «ОК» в каждом диалоговом окне, чтобы сохранить изменения и вернуться в редактор управления групповыми политиками. Click OK on each dialog box to save your changes and return to the Group Policy Management Editor.

Выбор режима проверки подлинности Choose an Authentication Mode

Применимо к: Applies to: SQL Server SQL Server (все поддерживаемые версии) SQL Server SQL Server (all supported versions) Применимо к: Applies to: SQL Server SQL Server (все поддерживаемые версии) SQL Server SQL Server (all supported versions)

Во время процесса установки следует выбрать режим проверки подлинности для компонента Компонент Database Engine Database Engine . During setup, you must select an authentication mode for the Компонент Database Engine Database Engine . Существует два возможных режима: режим проверки подлинности Windows и смешанный режим. There are two possible modes: Windows Authentication mode and mixed mode. Режим проверки подлинности Windows включает проверку подлинности Windows и отключает проверку подлинности SQL Server SQL Server . Windows Authentication mode enables Windows Authentication and disables SQL Server SQL Server Authentication. В смешанном режиме включены как проверка подлинности Windows, так и проверка подлинности SQL Server SQL Server . Mixed mode enables both Windows Authentication and SQL Server SQL Server Authentication. Проверка подлинности Windows доступна всегда, и отключить ее нельзя. Windows Authentication is always available and cannot be disabled.

Настройка режима проверки подлинности Configuring the Authentication Mode

Если во время установки был выбран смешанный режим проверки подлинности, необходимо задать и подтвердить надежный пароль для встроенной учетной записи системного администратора SQL Server SQL Server с именем sa. If you select Mixed Mode Authentication during setup, you must provide and then confirm a strong password for the built-in SQL Server SQL Server system administrator account named sa. Учетная запись sa устанавливает соединения с помощью проверки подлинности SQL Server SQL Server . The sa account connects by using SQL Server SQL Server Authentication.

Если во время установки была выбрана проверка подлинности Windows, программа установки создаст учетную запись sa для проверки подлинности SQL Server SQL Server , но она будет отключена. If you select Windows Authentication during setup, Setup creates the sa account for SQL Server SQL Server Authentication but it is disabled. Если позже переключиться на смешанный режим проверки подлинности и потребуется учетная запись sa, ее будет нужно включить. If you later change to Mixed Mode Authentication and you want to use the sa account, you must enable the account. Любая учетная запись Windows или SQL Server SQL Server может быть настроена в качестве системного администратора. Any Windows or SQL Server SQL Server account can be configured as a system administrator. Поскольку учетная запись sa широко известна и часто является целью злонамеренных пользователей, ее не рекомендуется включать (за исключением тех случаев, когда это необходимо приложению). Because the sa account is well known and often targeted by malicious users, do not enable the sa account unless your application requires it. Никогда не указывайте пустой или простой пароль для учетной записи sa. Never set a blank or weak password for the sa account. Сведения о переключении проверки подлинности Windows на смешанный режим проверки подлинности и использовании проверки подлинности SQL Server SQL Server см. в статье Изменение режима проверки подлинности сервера. To change from Windows Authentication mode to Mixed Mode Authentication and use SQL Server SQL Server Authentication, see Change Server Authentication Mode.

Соединение с использованием проверки подлинности Windows Connecting Through Windows Authentication

Когда пользователь выполняет подключение под пользовательской учетной записью Windows, SQL Server SQL Server проверяет имя учетной записи и пароль с помощью токена участника Windows в операционной системе. When a user connects through a Windows user account, SQL Server SQL Server validates the account name and password using the Windows principal token in the operating system. Это означает, что удостоверение пользователя было подтверждено Windows. This means that the user identity is confirmed by Windows. SQL Server SQL Server не запрашивает пароль и не выполняет проверку удостоверения. does not ask for the password, and does not perform the identity validation. Проверка подлинности Windows является проверкой подлинности по умолчанию; она обеспечивает более высокий уровень безопасности, чем проверка подлинности SQL Server SQL Server . Windows Authentication is the default authentication mode, and is much more secure than SQL Server SQL Server Authentication. Режим проверки подлинности Windows использует протокол безопасности Kerberos, реализует политику паролей в отношении проверки сложности надежных паролей, поддерживает блокировку учетных записей и истечение срока пароля. Windows Authentication uses Kerberos security protocol, provides password policy enforcement with regard to complexity validation for strong passwords, provides support for account lockout, and supports password expiration. Соединение, установленное с помощью проверки подлинности Windows, иногда называется доверительным соединением, поскольку SQL Server SQL Server доверяет учетным данным, предоставляемым Windows. A connection made using Windows Authentication is sometimes called a trusted connection, because SQL Server SQL Server trusts the credentials provided by Windows.

С помощью проверки подлинности Windows можно создать группы Windows на уровне домена, а имя входа можно создать на уровне SQL Server SQL Server для всей группы. By using Windows Authentication, Windows groups can be created at the domain level, and a login can be created on SQL Server SQL Server for the entire group. Управление доступом на уровне домена позволяет упростить администрирование учетных записей. Managing access from at the domain level can simplify account administration.

По возможности используйте аутентификацию Windows. When possible, use Windows authentication.

Соединение с использованием проверки подлинности SQL Server Connecting Through SQL Server Authentication

Если используется проверка подлинности SQL Server SQL Server , в SQL Server SQL Server создаются имена входа, которые не основаны на учетных записях пользователей Windows. When using SQL Server SQL Server Authentication, logins are created in SQL Server SQL Server that are not based on Windows user accounts. И имя пользователя, и пароль создаются с помощью SQL Server SQL Server и хранятся в SQL Server SQL Server . Both the user name and the password are created by using SQL Server SQL Server and stored in SQL Server SQL Server . Пользователи, подключающиеся с помощью проверки подлинности SQL Server SQL Server , должны предоставлять свои учетные данные (имя входа и пароль) каждый раз при установке соединения. Users connecting using SQL Server SQL Server Authentication must provide their credentials (login and password) every time that they connect. При использовании проверки подлинности SQL Server SQL Server необходимо задавать надежные пароли для всех учетных записей SQL Server SQL Server . When using SQL Server SQL Server Authentication, you must set strong passwords for all SQL Server SQL Server accounts. Рекомендации по выбору надежного пароля см. в разделе Strong Passwords. For strong password guidelines, see Strong Passwords.

Для имен входа SQL Server SQL Server доступны три дополнительные политики паролей. Three optional password policies are available for SQL Server SQL Server logins.

Пользователь должен сменить пароль при следующем входе User must change password at next login

Требует, чтобы пользователь сменил пароль при следующем подключении. Requires the user to change the password the next time that the user connects. Сменить пароль можно с помощью среды SQL Server Management Studio SQL Server Management Studio . The ability to change the password is provided by SQL Server Management Studio SQL Server Management Studio . Если используется этот режим, сторонние разработчики программного обеспечения должны предоставлять данную функцию. Third-party software developers should provide this feature if this option is used.

Задать срок окончания действия пароля Enforce password expiration

Для имен входа SQL Server SQL Server будет принудительно реализовываться политика максимального возраста паролей. The maximum password age policy of the computer is enforced for SQL Server SQL Server logins.

Требовать использование политики паролей Enforce password policy

Для имен входа SQL Server SQL Server будут принудительно реализовываться политики паролей Windows. The Windows password policies of the computer are enforced for SQL Server SQL Server logins. Это включает длину и сложность паролей. This includes password length and complexity. Эта возможность обеспечивается API NetValidatePasswordPolicy , который доступен только в Windows Server 2003 Windows Server 2003 и более поздних версиях. This functionality depends on the NetValidatePasswordPolicy API, which is only available in Windows Server 2003 Windows Server 2003 and later versions.

Определение политик паролей на локальном компьютере To determine the password policies of the local computer

В меню Пуск выберите команду Выполнить. On the Start menu, click Run.

В диалоговом окне Выполнить введите secpol.msc, а затем нажмите кнопку ОК. In the Run dialog box, type secpol.msc, and then click OK.

В приложении Локальная политика безопасности разверните узлы Настройки безопасности и Политики учетных записей, затем щелкните Политика паролей. In the Local Security Settings application, expand Security Settings, expand Account Policies, and then click Password Policy.

Политики паролей будут описаны в панели результатов. The password policies are described in the results pane.

Недостатки проверки подлинности SQL Server Disadvantages of SQL Server Authentication

Если пользователь является пользователем домена Windows, имеющим имя входа и пароль Windows, то для подключения он все равно должен предоставить другое имя входа и пароль ( SQL Server SQL Server ). If a user is a Windows domain user who has a login and password for Windows, they must still provide another ( SQL Server SQL Server ) login and password to connect. Многим пользователям сложно помнить несколько имен входа и паролей. Keeping track of multiple names and passwords is difficult for many users. Необходимость предоставлять учетные данные SQL Server SQL Server при каждом подключении к базе данных может раздражать. Having to provide SQL Server SQL Server credentials every time that one connects to the database can be annoying.

SQL Server SQL Server не может использоваться протокол безопасности Kerberos. Authentication cannot use Kerberos security protocol.

ОС Windows предоставляет дополнительные политики паролей, недоступные для имен входа SQL Server SQL Server . Windows offers additional password policies that are not available for SQL Server SQL Server logins.

Зашифрованный пароль имени входа для проверки подлинности SQL Server SQL Server необходимо передавать по сети во время установления соединения. The encrypted SQL Server SQL Server Authentication login password, must be passed over the network at the time of the connection. Некоторые приложения, которые устанавливают соединение автоматически, сохраняют пароль на клиенте. Some applications that connect automatically will store the password at the client. Эти дополнительные точки, на которые может быть направлена атака. These are additional attack points.

Преимущества проверки подлинности SQL Server Advantages of SQL Server Authentication

Позволяет SQL Server SQL Server поддерживать более старые приложения и приложения, поставляемые сторонними производителями, для которых необходима проверка подлинности SQL Server SQL Server . Allows SQL Server SQL Server to support older applications and applications provided by third parties that require SQL Server SQL Server Authentication.

Позволяет SQL Server SQL Server поддерживать среды с несколькими операционными системами, в которых пользователи не проходят проверку подлинности домена Windows. Allows SQL Server SQL Server to support environments with mixed operating systems, where all users are not authenticated by a Windows domain.

Позволяет пользователям устанавливать соединения из неизвестных или недоверенных доменов. Allows users to connect from unknown or untrusted domains. Например, в приложении, в котором клиенты подключаются с выделенными именами входа SQL Server SQL Server , чтобы получить состояние их заказов. For instance, an application where established customers connect with assigned SQL Server SQL Server logins to receive the status of their orders.

Позволяет SQL Server SQL Server поддерживать веб-приложения, в которых пользователи сами создают собственные удостоверения. Allows SQL Server SQL Server to support Web-based applications where users create their own identities.

Позволяет разработчикам программного обеспечения распространять свои приложения с помощью сложной иерархии разрешений, основанной на известных, заранее установленных именах входа SQL Server SQL Server . Allows software developers to distribute their applications by using a complex permission hierarchy based on known, preset SQL Server SQL Server logins.

Использование проверки подлинности SQL Server SQL Server не ограничивает разрешения локальных администраторов на компьютере, на котором установлен SQL Server SQL Server . Using SQL Server SQL Server Authentication does not limit the permissions of local administrators on the computer where SQL Server SQL Server is installed.