適用対象:
SQL Server
このページを使用すると、サーバー セキュリティ オプションを表示したり変更したりできます。
[サーバー認証]
Windows 認証モード
Windows 認証を使用して、試行された接続を検証します。 セキュリティ モードを変更するときに sa パスワードが空白の場合、ユーザーは sa パスワードの入力を求められます。
重要
Windows 認証は、SQL Server 認証よりもはるかに安全性に優れています。 可能な場合は、Windows 認証を使用することをお勧めします。
SQL Server と Windows 認証モード
旧バージョンの SQL Serverとの互換性を維持するために、混合モード認証を使用して接続試行を検証します。 セキュリティ モードを変更するときに sa パスワードが空白の場合、ユーザーは sa パスワードの入力を求められます。
注記
セキュリティ構成を変更するには、サービスを再起動する必要があります。 サーバー認証を SQL Server および Windows 認証モードに変更すると、SA アカウントは自動的に有効になりません。 SA アカウントを使用するには、ALTER LOGIN コマンドをENABLEオプション付きで実行します。
認証モードの説明
適切な認証モードを選択すると、SQL Server インスタンスのセキュリティ、管理容易性、アプリケーションの互換性に影響します。
Windows 認証
Windows 認証では、Windows オペレーティング システムのセキュリティ資格情報を使用して、ユーザー接続を検証します。 SQL Server はパスワードを直接保存または管理しません。資格情報の検証には、Windows ドメイン コントローラー (Active Directory またはローカル アカウント) に依存します。
主な特性:
- 資格情報の検証に Kerberos または NTLM プロトコルを使用します。
- 複雑さの要件、有効期限、Active Directory グループ ポリシーによるアカウント ロックアウトなど、一元化されたパスワード ポリシーをサポートします。
- シングル サインオン (SSO) を有効にします。ユーザーは別の SQL Server 資格情報を入力する必要はありません。
- Windows セキュリティ イベント ログを使用した組み込みの監査を提供します。
- Windows グループベースのアクセスをサポートします。これにより、多数のユーザーのアクセス許可管理が簡略化されます。
SQL Server 認証
SQL Server 認証では、 master データベースに格納されているログイン アカウントが使用されます。 各ログインには、SQL Server が Windows 資格情報とは別に管理する独自のユーザー名とパスワードがあります。
主な特性:
- 資格情報は、Windows ドメインとは別に SQL Server に直接格納されます。
- すべての接続文字列でユーザー名とパスワードを指定する必要があります。
- 既定では、Kerberos 委任または一元化されたドメイン パスワード ポリシーはサポートされていません。
- インターネットに接続するアプリケーションやクロスプラットフォーム環境など、クライアントが Windows ドメインの一部でない場合に便利です。
認証モードの比較
| 特徴 | Windows 認証 | SQL Server と Windows 認証 (混合モード) |
|---|---|---|
| プロトコル | Kerberos または NTLM | Kerberos、NTLM、または SQL パスワード |
| パスワード管理 | Active Directory によって管理される | SQL Server によって管理される SQL ログイン。Active Directory によって管理される Windows ログイン |
| シングル サインオン | イエス | Windows ログインの場合のみ |
| 一元化されたパスワード ポリシー | はい (Active Directory グループ ポリシー) | SQL Server では、SQL ログイン用に独自のパスワード ポリシーが適用されます |
| ドメイン以外のクライアントをサポートします | いいえ | イエス |
| に最適です | エンタープライズ環境とイントラネット環境 | インターネットに接続するアプリケーション、クロスプラットフォーム環境、または混合シナリオ |
適切な認証モードを選択する
認証モードを選択するときは、次のガイドラインを使用します。
- すべてのクライアントがドメインに参加している Windows マシンで、Active Directory を使用して資格情報を一元管理する必要があり、Windows 以外のクライアントをサポートする必要がない場合は、Windows 認証モードを使用します。
- Windows 認証を使用できないアプリケーション、Windows 以外のオペレーティング システムで実行されるクライアント、または SQL Server ログインを必要とするレガシ アプリケーションをサポートする必要がある場合は、SQL Server と Windows 認証モードを使用します。
重要
混在モードを使用する場合でも、管理者アカウントと内部アプリケーションには Windows 認証ログインを使用します。 Windows 認証が不可能なシナリオに対して SQL Server 認証を予約します。
詳細については、「認証モードの選択」を参照してください。
ログイン監査
None
ログインの監査をオフにします。
失敗したログインのみ
成功しなかったログインのみを監査します。
成功したログインのみ
成功したログインのみを監査します。
失敗したログインと成功したログインの両方
すべてのログイン試行を監査します。
注記
監査レベルを変更するには、サービスを再起動する必要があります。
サーバー プロキシ アカウント
サーバー プロキシ アカウントを有効にする
xp_cmdshellで使用するアカウントを有効にします。 オペレーティング システム コマンドの実行中に、プロキシ アカウントを使用してログイン、サーバー ロール、データベース ロールの権限を借用します。
注意事項
サーバー プロキシ アカウントで使用されるログインには、目的の操作を実行するための必要最低限の権限を与えます。 プロキシ アカウントに過度の権限を与えると、悪意あるユーザーに利用され、システム セキュリティが脅かされる可能性があります。
プロキシ アカウント
使用されるプロキシ アカウントを指定します。
パスワード
プロキシ アカウントのパスワードを指定します。
オプション
C2 監査トレースを有効にする
ステートメントとオブジェクトにアクセスするすべての試行を監査し、SQL Server の既定のインスタンスの場合は \MSSQL\Data ディレクトリ内のファイル、SQL Server の名前付きインスタンスの場合は \MSSQL$instancename\Data ディレクトリに記録します。 詳細については、「 c2 audit mode サーバー構成オプション」を参照してください。
データベース間の所有権チェーン
選択すると、データベースをクロスデータベース所有権チェーンのソースまたはターゲットにすることができます。 詳細については、「 cross db ownership chaining サーバー構成オプション」を参照してください。