Come posso configurare la policy delle password per la mia istanza RDS per SQL Server?

Breve descrizione

I criteri delle password e gli intervalli di scadenza sono configurati a livello di host (sistema operativo, livello Microsoft Windows). Amazon RDS è un servizio gestito. Pertanto, non è possibile modificare i criteri delle password a causa dell'accesso limitato al sistema operativo.

La policy della password è attivata per impostazione predefinita in RDS per SQL Server quando viene creato o modificato un nuovo accesso utilizzando SQL Server Management Studio (SSMS) o T-SQL.

Risoluzione

L'istanza RDS per SQL Server non è aggiunta a una Active Directory

Se l'istanza non è aggiunta a una Active Directory, le policy vengono definite nel sistema operativo Windows. Non puoi modificare queste policy. Di seguito sono riportati i valori configurati nei criteri delle password di Windows:

• Applica la cronologia delle password: 0 password memorizzate
• Lunghezza minima della password: 0 caratteri
• La password deve soddisfare i requisiti di complessità: disattivata
• Archivia le password utilizzando la crittografia reversibile: disattivata
• Durata minima della password: 0 giorni
• Durata massima della password: 42 giorni

Nota: non è possibile utilizzare una policy di blocco dell'account per le istanze RDS per SQL Server che non sono aggiunte a una Active Directory. Una policy di blocco dell'account richiede l'accesso al sistema operativo sottostante. Amazon RDS è un servizio gestito, quindi l'accesso a livello di host non è disponibile.

L'istanza RDS per SQL Server viene aggiunta a una Active Directory

È possibile applicare e modificare le policy delle password utilizzando l'autenticazione di Windows per RDS per SQL Server. Questo vale solo per l'autenticazione di Windows. L'autenticazione SQL utilizza la policy delle password locale definita nella sezione precedente indipendentemente dal fatto che sia aggiunta o meno a un dominio.

Esegui la seguente query per identificare gli accessi SQL Server configurati con le policy delle password e la scadenza della password nell'istanza:

select name, type_desc, create_date, modify_date, is_policy_checked,

       is_expiration_checked,  isnull(loginproperty(name,'DaysUntilExpiration'),'-') Days_to_Expire,  is_disabled

from sys.sql_logins

Di seguito sono riportate le opzioni disponibili per l'applicazione della policy delle password e la scadenza delle password per gli accessi a SQL Server:

Nota: queste opzioni sono solo per le istanze RDS per SQL Server che fanno parte di un dominio.

• Il valore della colonna policy_checked è 0: l'accesso a SQL Server non applica policy delle password.
• Il valore della colonna policy_checked è 1 e il valore di is_expiration_checked è 0: l'accesso a SQL Server applica la complessità e il blocco della password, ma non la scadenza di quest'ultima.
• I valori di entrambe le colonne policy_checked e is_expiration_checked è 1: l'accesso a SQL Server applica la complessità, il blocco e la scadenza della password.

Se i valori di policy_checked e is_expiration_checked sono entrambi 0, la policy è per l'utente principale nell'istanza database di RDS per SQL Server. Ciò indica che la complessità della password, l'impostazione del blocco e la scadenza della password non sono impostate per l'utente primario. Pertanto, l'utente primario non scade in RDS per SQL Server. Se l'utente primario perde l'accesso, puoi reimpostare la password. Per ulteriori informazioni, consulta la pagina Perché l'utente principale della mia istanza RDS per SQL Server ha perso l'accesso e come posso recuperarlo?