Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
SQL Server
Auf dieser Seite können Sie die Optionen für die Serversicherheit anzeigen oder bearbeiten.
Serverauthentifizierung
Windows-Authentifizierungsmodus
Verwendet die Windows-Authentifizierung zum Überprüfen von Verbindungsversuchen. Wenn das sa Kennwort leer ist, wenn der Sicherheitsmodus geändert wird, wird der Benutzer aufgefordert, ein sa Kennwort einzugeben.
Wichtig
Die Windows-Authentifizierung bietet deutlich mehr Sicherheit als die SQL Server-Authentifizierung. Verwenden Sie nach Möglichkeit die Windows-Authentifizierung.
SQL Server- und Windows-Authentifizierungsmodus
Verwendet aus Gründen der Abwärtskompatibilität mit früheren Versionen von SQL Servereinen gemischten Authentifizierungsmodus zum Überprüfen von Verbindungsversuchen. Wenn das sa Kennwort leer ist, wenn der Sicherheitsmodus geändert wird, wird der Benutzer aufgefordert, ein sa Kennwort einzugeben.
Hinweis
Das Ändern der Sicherheitskonfiguration erfordert einen Neustart des Diensts. Wenn Sie die Serverauthentifizierung in SQL Server und den Windows-Authentifizierungsmodus ändern, wird das SA-Konto nicht automatisch aktiviert. Um das SA-Konto zu verwenden, führen Sie ALTER LOGIN mit der ENABLE Option aus.
Erläuterte Authentifizierungsmodi
Die Auswahl des richtigen Authentifizierungsmodus wirkt sich auf die Sicherheit, Verwaltbarkeit und Anwendungskompatibilität Ihrer SQL Server-Instanz aus.
Windows-Authentifizierung
Die Windows-Authentifizierung verwendet die Sicherheitsanmeldeinformationen des Windows-Betriebssystems, um Benutzerverbindungen zu überprüfen. SQL Server speichert oder verwaltet Kennwörter nicht direkt – er basiert auf dem Windows-Domänencontroller (Active Directory oder lokale Konten) für die Überprüfung von Anmeldeinformationen.
Wichtige Merkmale:
- Verwendet Kerberos- oder NTLM-Protokolle für die Überprüfung von Anmeldeinformationen.
- Unterstützt zentralisierte Kennwortrichtlinien, einschließlich Komplexitätsanforderungen, Ablauf- und Kontosperrung über Active Directory-Gruppenrichtlinien.
- Aktiviert einmaliges Anmelden (Single Sign-On, SSO) – Benutzer müssen keine separaten SQL Server-Anmeldeinformationen eingeben.
- Bietet integrierte Überwachung über das Windows-Sicherheitsereignisprotokoll.
- Unterstützt den gruppenbasierten Zugriff von Windows, der die Berechtigungsverwaltung für eine große Anzahl von Benutzern vereinfacht.
SQL Server-Authentifizierung
Die SQL Server-Authentifizierung verwendet Anmeldekonten, die in der master Datenbank gespeichert sind. Jede Anmeldung verfügt über einen eigenen Benutzernamen und ein eigenes Kennwort, das SQL Server unabhängig von Windows-Anmeldeinformationen verwaltet.
Wichtige Merkmale:
- Anmeldeinformationen werden direkt in SQL Server gespeichert, getrennt von der Windows-Domäne.
- Erfordert, dass Benutzer in jeder Verbindungszeichenfolge einen Benutzernamen und ein Kennwort angeben.
- Unterstützt standardmäßig keine Kerberos-Delegierung oder zentralisierte Domänenkennwortrichtlinien.
- Nützlich, wenn Clients nicht Teil einer Windows-Domäne sind, z. B. internetorientierte Anwendungen oder plattformübergreifende Umgebungen.
Vergleich der Authentifizierungsmodi
| Merkmal | Windows-Authentifizierung | SQL Server und Windows-Authentifizierung (gemischter Modus) |
|---|---|---|
| Protokoll | Kerberos oder NTLM | Kerberos-, NTLM- oder SQL-Kennwort |
| Kennwortverwaltung | Von Active Directory verwaltet | SQL-Anmeldungen, die von SQL Server verwaltet werden; Von Active Directory verwaltete Windows-Anmeldungen |
| Einmaliges Anmelden | Ja | Nur für Windows-Anmeldungen |
| Zentralisierte Kennwortrichtlinie | Ja (Active Directory-Gruppenrichtlinie) | SQL Server erzwingt eine eigene Kennwortrichtlinie für SQL-Anmeldungen |
| Unterstützt Nicht-Domänen-Clients | Nein | Ja |
| Am besten geeignet für | Unternehmens- und Intranetumgebungen | Internetbasierte Anwendungen, plattformübergreifende Umgebungen oder gemischte Szenarien |
Auswählen des richtigen Authentifizierungsmodus
Verwenden Sie die folgenden Richtlinien, wenn Sie einen Authentifizierungsmodus auswählen:
- Verwenden Sie den Windows-Authentifizierungsmodus , wenn alle Clients in die Domäne eingebundene Windows-Computer sind, möchten Sie die zentrale Verwaltung von Anmeldeinformationen über Active Directory verwenden, und Sie müssen keine Nicht-Windows-Clients unterstützen.
- Verwenden Sie den SQL Server- und Windows-Authentifizierungsmodus , wenn Sie Anwendungen unterstützen müssen, die keine Windows-Authentifizierung verwenden können, Clients, die auf Nicht-Windows-Betriebssystemen ausgeführt werden, oder ältere Anwendungen, die SQL Server-Anmeldungen erfordern.
Wichtig
Selbst wenn Sie den gemischten Modus verwenden, bevorzugen Sie Windows-Authentifizierungsanmeldungen für Administrative Konten und interne Anwendungen. Reservieren Sie die SQL Server-Authentifizierung für Szenarien, in denen die Windows-Authentifizierung nicht möglich ist.
Weitere Informationen finden Sie unter Auswählen eines Authentifizierungsmodus.
Anmeldeüberwachung
Nichts
Schaltet die Anmeldungsüberwachung ab.
Nur fehlgeschlagene Anmeldungen
Überwacht nur nicht erfolgreiche Anmeldungen.
Nur erfolgreiche Anmeldungen
Überwacht nur erfolgreiche Anmeldungen.
Fehlgeschlagene und erfolgreiche Anmeldungen
Überwacht alle Anmeldungsversuche.
Hinweis
Eine Änderung der Überwachungsebene erfordert einen Neustart des Diensts.
Server-Proxykonto
Serverproxykonto aktivieren
Aktiviert ein Konto für die Verwendung durch xp_cmdshell. Proxykonten ermöglichen den Identitätswechsel bei Anmeldungen, Serverrollen und Datenbankrollen, wenn ein Betriebssystembefehl ausgeführt wird.
Achtung
Die vom Serverproxykonto verwendete Anmeldung sollte nur so viele Privilegien besitzen, wie zur Ausführung der vorgesehenen Arbeit erforderlich sind. Zu großzügige Privilegien für das Proxykonto können von einem Benutzer mit bösartigen Absichten zur Beeinträchtigung der Systemsicherheit ausgenutzt werden.
Proxykonto
Geben Sie das verwendete Proxykonto an.
Kennwort
Geben Sie das Kennwort für das Proxykonto ein.
Optionen
Aktivieren der C2-Audit-Protokollierung
Überwacht alle Versuche, auf Anweisungen und Objekte zuzugreifen, und zeichnet sie auf eine Datei im \MSSQL\Data Verzeichnis für Standardinstanzen von SQL Server oder das Verzeichnis \MSSQL$instancename\Data für benannte Instanzen von SQL Server auf. Weitere Informationen finden Sie unter C2-Überwachungsmodus (Serverkonfigurationsoption).
Datenbankübergreifende Eigentumsverkettung
Wählen Sie diese Option aus, um es der Datenbank zu ermöglichen, Quelle oder Ziel einer datenbankübergreifenden Besitzverkettung zu sein. Weitere Informationen finden Sie unter Datenbankübergreifende Besitzverkettung (Serverkonfigurationsoption).