Wie kann ich die Passwortrichtlinie für meine RDS-für-SQL-Server-Instance konfigurieren?

Lesedauer: 3 Minute
0

Ich muss eine Passwortrichtlinie für meine Instance von Amazon Relational Database Service (Amazon RDS) für Microsoft SQL Server konfigurieren. Wie gehe ich dafür vor?

Kurzbeschreibung

Passwortrichtlinien und Ablaufintervalle werden auf Host-Ebene (Betriebssystem, Microsoft-Windows-Schicht) konfiguriert. Amazon RDS ist ein verwalteter Service. Änderungen an der Passwortrichtlinie sind daher aufgrund des eingeschränkten Zugriffs auf das Betriebssystem nicht möglich.

Die Passwortrichtlinie ist in RDS für SQL Server standardmäßig aktiviert, sobald eine neue Anmeldung erstellt oder eine Anmeldung mit SQL Server Management Studio (SSMS) oder T-SQL geändert wird.

Lösung

Die RDS-für-SQL-Server-Instance ist nicht mit einem Active Directory verbunden

Wenn die Instance nicht mit einem Active Directory verbunden ist, werden die Richtlinien auf dem Windows-Betriebssystem definiert. Sie können diese Richtlinien nicht ändern. Im Folgenden sind die in der Windows-Passwortrichtlinie konfigurierten Werte aufgeführt:

  • Passwortverlauf erzwingen: 0 Passwörter im Speicher
  • Mindestlänge des Passworts: 0 Zeichen
  • Passwort muss die Komplexitätsanforderungen erfüllen: Deaktiviert
  • Passwörter mit umkehrbarer Verschlüsselung speichern: Deaktiviert
  • Mindestalter des Passworts: 0 Tage
  • Maximales Passwortalter: 42 Tage

Hinweis: Eine Kontosperrungsrichtlinie ist für RDS-für-SQL-Server-Instances, die nicht mit einem Active Directory verbunden sind, nicht möglich. Eine Kontosperrungsrichtlinie erfordert Zugriff auf das zugrunde liegende Betriebssystem. Amazon RDS ist ein verwalteter Service, daher ist kein Zugriff auf Host-Ebene verfügbar.

Die RDS-für-SQL-Server-Instance ist mit einem Active Directory verbunden

Sie können Passwortrichtlinien erzwingen und ändern, wenn Sie die Windows-Authentifizierung für RDS für SQL Server verwenden. Dies gilt nur für die Windows-Authentifizierung. Die SQL-Authentifizierung verwendet die im vorherigen Abschnitt definierte lokale Kennwortrichtlinie, unabhängig davon, ob sie mit einer Domain verbunden ist oder nicht.

Führen Sie die folgende Abfrage aus, um die mit der Passwortrichtlinie konfigurierten SQL-Server-Anmeldungen und den Passwortablauf für die Instance zu identifizieren:

select name, type_desc, create_date, modify_date, is_policy_checked,

       is_expiration_checked,  isnull(loginproperty(name,'DaysUntilExpiration'),'-') Days_to_Expire,  is_disabled

from sys.sql_logins

Im Folgenden sind die verfügbaren Optionen für die Durchsetzung von Passwortrichtlinien und den Ablauf von Passwörtern für SQL-Server-Anmeldungen verfügbar:

Hinweis: Diese Optionen gelten nur für RDS-für-SQL-Server-Instances, die mit einer Domain verbunden sind.

  • Die Spalte policy_checked ist 0: Die SQL-Server-Anmeldung setzt keine Passwortrichtlinien durch.
  • Die Spalte policy_checked ist 1 und is_expiration_checked ist 0: Die SQL-Server-Anmeldung erzwingt die Komplexität und Sperrung des Passworts, aber nicht den Ablauf des Passworts.
  • Die Spalten policy_checked und is_expiration_checked sind beide 1: Die SQL-Server-Anmeldung erzwingt die Komplexität, Sperrung und den Ablauf des Passworts.

Wenn policy_checked und is_expiration_checked beide den Wert 0 haben, gilt die Richtlinie für den Primärbenutzer in Ihrer RDS-für-SQL-Server-DB-Instance. Dies weist darauf hin, dass die Passwortkomplexität, die Sperrungseinstellung und der Ablauf des Passworts für den Primärbenutzer nicht festgelegt sind. Der Zugriff des Primärbenutzers läuft also in RDS für SQL Server nicht ab. Wenn Ihr Primärbenutzer den Zugriff verliert, können Sie das Passwort zurücksetzen. Weitere Informationen finden Sie unter Warum hat der Primärbenutzer für meine RDS-für-SQL-Server-Instance den Zugriff verloren und wie kann ich ihn zurückgewinnen?