Windows身分識別驗證模式和混合模式

 　　某日，A君問起Windows身分識別驗證模式和混合模式驗證的區別與優缺時，根據安全性的考慮，按照到了此文作為參考，學習下~

　　在安裝過程中，必須為資料庫引擎選擇身分識別驗證模式。 可供選擇的模式有兩種：Windows 身分識別驗證模式和混合模式。 Windows 身分識別驗證模式會啟用 Windows 身分識別驗證並禁用 SQL Server 身分識別驗證。 混合模式會同時啟用 Windows 身分識別驗證和 SQL Server 身分識別驗證。 Windows 身分識別驗證始終可用，並且無法禁用。

　　配置身分識別驗證模式

　　如果在安裝過程中選擇混合模式身分識別驗證，則必須為名為 sa 的內建 SQL Server 系統管理員帳戶提供一個強密碼並確認該密碼。 sa 帳戶通過使用 SQL Server 身分識別驗證進行串連。

　　如果在安裝過程中選擇 Windows 身分識別驗證，則安裝程式會為 SQL Server 身分識別驗證建立 sa 帳戶，但會禁用該帳戶。 如果稍後更改為混合模式身分識別驗證並要使用 sa 帳戶，則必須啟用該帳戶。 您可以將任何 Windows 或 SQL Server 帳戶配置為系統管理員。 由於 sa 帳戶廣為人知且經常成為惡意使用者的攻擊目標，因此除非應用程式需要使用 sa 帳戶，否則請勿啟用該帳戶。 切勿為 sa 帳戶設定空密碼或弱密碼。若要從 Windows 身分識別驗證模式更改為混合模式身分識別驗證並使用 SQL Server 身分識別驗證，請參閱更改伺服器身分識別驗證模式。

　　通過 Windows 身分識別驗證進行串連

　　當使用者通過 Windows 使用者帳戶串連時，SQL Server 使用作業系統中的 Windows 主體標記驗證帳戶名稱和密碼。 也就是說，使用者身份由 Windows 進行確認。 SQL Server 不要求提供密碼，也不執行身分識別驗證。 Windows 身分識別驗證是預設身分識別驗證模式，並且比 SQL Server 身分識別驗證更為安全。 Windows 身分識別驗證使用 Kerberos 安全性通訊協定，提供有關強密碼複雜性驗證的密碼原則強制，還提供帳戶鎖定支援，並且支援密碼到期。 通過 Windows 身分識別驗證完成的串連有時也稱為可信串連，這是因為 SQL Server 信任由 Windows 提供的憑據。

　　安全記事

　　請儘可能使用 Windows 身分識別驗證。

　　通過 SQL Server 身分識別驗證進行串連

　　當使用 SQL Server 身分識別驗證時，在 SQL Server 中建立的登入名稱並不基於 Windows 使用者帳戶。 使用者名稱和密碼均通過使用 SQL Server 建立並儲存在 SQL Server 中。 通過 SQL Server 身分識別驗證進行串連的使用者每次串連時必須提供其憑據(登入名稱和密碼)。 當使用 SQL Server 身分識別驗證時，必須為所有 SQL Server 帳戶設定強密碼。

　　可供 SQL Server 登入名選擇使用的密碼原則有三種。

　　使用者在下次登入時必須更改密碼

　　要求使用者在下次串連時更改密碼。 更改密碼的功能由 SQL Server Management Studio 提供。 如果使用該選項，則第三方軟體開發人員應提供此功能。

　　強制密碼到期

　　對 SQL Server 登入名強制實施電腦的密碼最長使用到期日策略。

　　強制實施密碼原則

　　對 SQL Server 登入名強制實施電腦的 Windows 密碼原則。 這包括密碼長度和密碼複雜性。 此功能需要通過 NetValidatePasswordPolicy API 實現，該 API 只在 Windows Server 2003 和更高版本中提供。

　　確定本機電腦的密碼原則

　　在"開始"菜單上，單擊"運行".

　　在"運行"對話方塊中，鍵入 secpol.msc,然後單擊"確定".

　　在"本地安全設定"應用程式中，依次展開"安全設定"、"帳戶原則",然後單擊"密碼原則".

　　密碼原則將如結果窗格中所示。

　　SQL Server 身分識別驗證的缺點

　　如果使用者是具有 Windows 登入名稱和密碼的 Windows 域使用者，則還必須提供另一個用於串連的 (SQL Server) 登入名稱和密碼。 記住多個登入名稱和密碼對於許多使用者而言都較為困難。 每次串連到資料庫時都必須提供 SQL Server 憑據也十分煩人。

　　SQL Server 身分識別驗證無法使用 Kerberos 安全性通訊協定。

　　SQL Server 登入名不能使用 Windows 提供的其他密碼原則。

　　SQL Server 身分識別驗證的優點

　　允許 SQL Server 支援那些需要進行 SQL Server 身分識別驗證的繼承應用程式和由第三方提供的應用程式。

　　允許 SQL Server 支援具有混合作業系統的環境，在這種環境中並不是所有使用者均由 Windows 域進行驗證。

　　允許使用者從未知的或不可信的域進行串連。 例如，既定客戶使用指定的 SQL Server 登入名進行串連以接收其訂單狀態的應用程式。

　　允許 SQL Server 支援基於 Web 的應用程式，在這些應用程式中使用者可建立自己的標識。

　　允許軟體開發人員通過使用基於已知的預設 SQL Server 登入名的複雜許可權階層來分發應用程式。

　　注意

　　使用 SQL Server 身分識別驗證不會限制安裝 SQL Server 的電腦上的本地管理員權限。