Изменение режима проверки подлинности сервера Change server authentication mode

Применимо к: Applies to: SQL Server SQL Server (все поддерживаемые версии) SQL Server SQL Server (all supported versions) Применимо к: Applies to: SQL Server SQL Server (все поддерживаемые версии) SQL Server SQL Server (all supported versions)

В этом разделе описывается, как изменить режим проверки подлинности сервера в SQL Server SQL Server с помощью среды SQL Server Management Studio SQL Server Management Studio или Transact-SQL Transact-SQL . This topic describes how to change the server authentication mode in SQL Server SQL Server by using SQL Server Management Studio SQL Server Management Studio or Transact-SQL Transact-SQL . В процессе установки компонент Компонент SQL Server Database Engine SQL Server Database Engine настраивается на использование режима проверки подлинности Windows или режима проверки подлинности SQL Server и Windows. During installation, Компонент SQL Server Database Engine SQL Server Database Engine is set to either Windows Authentication mode or SQL Server and Windows Authentication mode. После установки вы можете изменить режим проверки подлинности в любое время. After installation, you can change the authentication mode at any time.

Если во время установки был выбран Режим проверки подлинности Windows , то имя входа sa отключено, а пароль присваивается программой установки. If Windows Authentication mode is selected during installation, the sa login is disabled and a password is assigned by setup. Если впоследствии изменить режим проверки подлинности на проверку подлинности SQL Server и Windows, то имя входа sa останется отключенным. If you later change authentication mode to SQL Server and Windows Authentication mode, the sa login remains disabled. Чтобы можно было пользоваться именем входа sa, включите его и присвойте ему новый пароль с помощью инструкции ALTER LOGIN. To use the sa login, use the ALTER LOGIN statement to enable the sa login and assign a new password. Имя входа sa может подключаться к серверу только с использованием проверки подлинности SQL Server SQL Server . The sa login can only connect to the server by using SQL Server SQL Server Authentication.

Перед началом Before you begin

Учетная запись sa — хорошо известная учетная запись SQL Server SQL Server и часто становится мишенью злоумышленников. The sa account is a well known SQL Server SQL Server account and it is often targeted by malicious users. Не включайте учетную запись sa, если это не требуется для работы приложения. Do not enable the sa account unless your application requires it. Для имени входа sa очень важно использовать надежный пароль. It is important that you use a strong password for the sa login.

Изменение режима проверки подлинности с помощью SSMS Change authentication mode with SSMS

В обозревателе объектов среды SQL Server Management Studio SQL Server Management Studio щелкните правой кнопкой мыши сервер и выберите пункт Свойства. In SQL Server Management Studio SQL Server Management Studio Object Explorer, right-click the server, and then click Properties.

На странице Безопасность , в разделе Серверная проверка подлинности выберите новый режим проверки подлинности сервера, а затем нажмите кнопку ОК. On the Security page, under Server authentication, select the new server authentication mode, and then click OK.

В диалоговом окне среды SQL Server Management Studio SQL Server Management Studio нажмите кнопку ОК , чтобы подтвердить необходимость перезапуска SQL Server SQL Server . In the SQL Server Management Studio SQL Server Management Studio dialog box, click OK to acknowledge the requirement to restart SQL Server SQL Server .

В обозревателе объектов щелкните правой кнопкой мыши сервер и выберите пункт Перезапустить. In Object Explorer, right-click your server, and then click Restart. Если работает агент SQL Server SQL Server , он тоже должен быть перезапущен. If SQL Server SQL Server Agent is running, it must also be restarted.

Включение имени входа sa Enable sa login

Имя входа sa можно включить с помощью SSMS или T-SQL. You can enable the sa login with SSMS or T-SQL.

использование SSMS; Use SSMS

В обозревателе объектов разверните узел Безопасность, разверните «Имена входа», щелкните правой кнопкой мыши имя входа sa и выберите Свойства. In Object Explorer, expand Security, expand Logins, right-click sa, and then click Properties.

На вкладке Общие, возможно, придется создать и подтвердить пароль для имени входа sa. On the General page, you might have to create and confirm a password for the sa login.

На странице Состояние в разделе Имя входа щелкните Включить и нажмите кнопку ОК. On the Status page, in the Login section, click Enabled, and then click OK.

Использование Transact-SQL Using Transact-SQL

В следующем примере включается имя входа sa и устанавливается новый пароль. The following example enables the sa login and sets a new password. Замените надежным паролем. Replace with a strong password before you run it.

Изменение режима проверки подлинности (T-SQL) Change authentication mode (T-SQL)

В следующем примере проверка подлинности сервера переключается со смешанного режима (Windows + SQL) на Windows. The following example changes Server Authentication from mixed mode (Windows + SQL) to Windows only.

В следующем примере для изменения реестра сервера используется расширенная хранимая процедура. The following example uses an extended stored procedure to modify the server registry. При неправильном изменении реестра могут возникнуть серьезные проблемы. Serious problems might occur if you modify the registry incorrectly. В результате может потребоваться переустановка операционной системы. These problems might require you to reinstall the operating system. Корпорация Майкрософт не гарантирует, что эти проблемы можно устранить. Microsoft cannot guarantee that these problems can be resolved. Ответственность за изменение реестра лежит на пользователе. Modify the registry at your own risk.

Для изменения режима аутентификации необходимы разрешения системного администратора или сервера контроля The permissions required to change the authentication mode are sysadmin or Control Server

Аутентификация в SQL Server Authentication in SQL Server

SQL Server поддерживает два режима проверки подлинности: режим проверки подлинности Windows и режим смешанной проверки подлинности. SQL Server supports two authentication modes, Windows authentication mode and mixed mode.

Режим проверки подлинности Windows является режимом по умолчанию. Поскольку эта модель безопасности SQL Server тесно интегрирована с Windows, часто ее называют встроенной функцией безопасности. Windows authentication is the default, and is often referred to as integrated security because this SQL Server security model is tightly integrated with Windows. Для входа в SQL Server в список надежных элементов вносятся определенные учетные записи пользователей и группы Windows. Specific Windows user and group accounts are trusted to log in to SQL Server. Пользователям Windows, которые уже прошли аутентификацию, не нужно представлять дополнительные учетные данные. Windows users who have already been authenticated do not have to present additional credentials.

Режим смешанной аутентификации поддерживает проверку подлинности как средствами Windows, так и средствами SQL Server. Mixed mode supports authentication both by Windows and by SQL Server. Пары имен пользователей и паролей хранятся в SQL Server. User name and password pairs are maintained within SQL Server.

Мы рекомендуем использовать проверку подлинности Windows везде, где это возможно. We recommend using Windows authentication wherever possible. При проверке подлинности Windows используется ряд зашифрованных сообщений для проверки подлинности пользователей в SQL Server. Windows authentication uses a series of encrypted messages to authenticate users in SQL Server. А при использовании имен входа SQL Server имена входа и зашифрованные пароли SQL Server передаются по сети, что делает их менее защищенными. When SQL Server logins are used, SQL Server login names and encrypted passwords are passed across the network, which makes them less secure.

При использовании проверки подлинности Windows пользователи уже вошли в Windows и им не нужно отдельно входить еще и в SQL Server. With Windows authentication, users are already logged onto Windows and do not have to log on separately to SQL Server. Следующая строка SqlConnection.ConnectionString задает проверку подлинности Windows, не требуя имени пользователя или пароля. The following SqlConnection.ConnectionString specifies Windows authentication without requiring users to provide a user name or password.

Имена для входа отличаются от пользователей базы данных. Logins are distinct from database users. Вы должны сопоставить имена для входа или группы Windows пользователям базы данных или ролям в отдельной операции. You must map logins or Windows groups to database users or roles in a separate operation. Затем вы предоставляете пользователям или ролям разрешения на доступ к объектам базы данных. You then grant permissions to users or roles to access database objects.

Сценарии проверки подлинности Authentication Scenarios

Проверка подлинности Windows обычно является лучшим выбором в следующих ситуациях: Windows authentication is usually the best choice in the following situations:

Есть контроллер домена. There is a domain controller.

Приложение и база данных находятся на одном компьютере. The application and the database are on the same computer.

Используется экземпляр SQL Server Express или LocalDB. You are using an instance of SQL Server Express or LocalDB.

Имена для входа SQL-сервера часто используются в следующих ситуациях: SQL Server logins are often used in the following situations:

Если у вас есть рабочая группа. If you have a workgroup.

Пользователи соединяются из разных, ненадежных доменов. Users connect from different, non-trusted domains.

Существуют интернет-приложения, такие как ASP.NET. Internet applications, such as ASP.NET.

При использовании аутентификации Windows имена входа SQL Server не отключаются. Specifying Windows authentication does not disable SQL Server logins. Чтобы отключить имена входа SQL Server с правами доступа, используйте инструкцию Transact-SQL ALTER LOGIN DISABLE. Use the ALTER LOGIN DISABLE Transact-SQL statement to disable highly-privileged SQL Server logins.

Типы имен входа Login Types

В SQL Server существует три типа имен входа. SQL Server supports three types of logins:

Локальная учетная запись пользователя Windows или доверенная учетная запись домена. A local Windows user account or trusted domain account. SQL Server доверяет проверку подлинности учетных записей пользователей Windows самой системе Windows. SQL Server relies on Windows to authenticate the Windows user accounts.

Группа Windows. Windows group. Предоставление доступа группе Windows обеспечивает доступ ко всем именам входа пользователей Windows, которые являются членами группы. Granting access to a Windows group grants access to all Windows user logins that are members of the group.

Имя входа SQL Server. SQL Server login. SQL Server хранит в базе данных master имя пользователя и хэш пароля путем использования внутренних методов проверки подлинности при попытке входа в базу данных. SQL Server stores both the username and a hash of the password in the master database, by using internal authentication methods to verify login attempts.

SQL Server предоставляет имена входа, созданные из сертификатов или асимметричных ключей, которые используются только для подписывания кода. SQL Server provides logins created from certificates or asymmetric keys that are used only for code signing. Они не могут использоваться для подключения к SQL Server. They cannot be used to connect to SQL Server.

Режим смешанной проверки подлинности Mixed Mode Authentication

При необходимости использовать режим смешанной проверки подлинности следует создать имена входа SQL Server, которые хранятся в SQL Server. If you must use mixed mode authentication, you must create SQL Server logins, which are stored in SQL Server. Затем имя пользователя и пароль SQL Server нужно будет вводить во время выполнения. You then have to supply the SQL Server user name and password at run time.

SQL Server устанавливается с логином SQL Server с именем sa . (сокращение от «system administrator»). SQL Server installs with a SQL Server login named sa (an abbreviation of «system administrator»). Назначьте надежный пароль для имени входа sa и не используйте имя входа sa в вашем приложении. Assign a strong password to the sa login and do not use the sa login in your application. Карты входа sa на фиксированную серверную роль sysadmin , которая имеет безотзывные административные учетные данные на всем сервере. The sa login maps to the sysadmin fixed server role, which has irrevocable administrative credentials on the whole server. Нет никаких ограничений на потенциальный ущерб, если злоумышленник получит доступ в качестве системного администратора. There are no limits to the potential damage if an attacker gains access as a system administrator.

SQL Server предоставляет механизмы политики паролей Windows для имен входа SQL Server. SQL Server provides Windows password policy mechanisms for SQL Server logins. Политика сложности паролей позволяет отражать атаки, использующие простой перебор, путем увеличения числа возможных паролей. Password complexity policies are designed to deter brute force attacks by increasing the number of possible passwords. SQL Server могут применять те же политики сложности и срока действия к паролям, которые используются в SQL Server. SQL Server can apply the same complexity and expiration policies to passwords used inside SQL Server.

Сосредоточение строк соединения из пользовательского ввода может сделать ваш сервер уязвимым к атаке путем внедрения строки подключения. Concatenating connection strings from user input can leave you vulnerable to a connection string injection attack. Используйте SqlConnectionStringBuilder для создания синтаксически корректных строк подключения во время выполнения. Use the SqlConnectionStringBuilder to create syntactically valid connection strings at run time. Дополнительные сведения см. в статье Connection String Builders (Построители строк подключения). For more information, see Connection String Builders.

Внешние ресурсы External Resources

Для получения дополнительных сведений см. следующие ресурсы. For more information, see the following resources.