Wie kann ich die Passwortrichtlinie für meine RDS-für-SQL-Server-Instance konfigurieren?

Letzte Aktualisierung: 13.10.2022

Ich muss eine Passwortrichtlinie für meine Instance von Amazon Relational Database Service (Amazon RDS) für Microsoft SQL Server konfigurieren. Wie gehe ich dafür vor?

Kurzbeschreibung

Passwortrichtlinien und Ablaufintervalle werden auf Host-Ebene (Betriebssystem, Windows-Schicht) konfiguriert. Amazon RDS ist ein verwalteter Service. Änderungen an der Passwortrichtlinie sind daher aufgrund des eingeschränkten Zugriffs auf das Betriebssystem nicht möglich. 

Die Passwortrichtlinie ist in RDS für SQL Server standardmäßig aktiviert, wenn eine neue Anmeldung erstellt oder eine Anmeldung mit SQL Server Management Studio (SSMS) oder T-SQL geändert wird.

Lösung

Die RDS-für-SQL-Server-Instance ist nicht mit einem Active Directory verbunden

Wenn die Instance nicht mit einem AD verbunden ist, werden die Richtlinien auf dem Windows-Betriebssystem definiert. Sie können diese Richtlinien nicht ändern. Im Folgenden sind die in der Windows-Passwortrichtlinie konfigurierten Werte aufgeführt:

  • Passwortverlauf erzwingen: 0 Passwörter im Speicher
  • Mindestlänge des Passworts: 0 Zeichen
  • Passwort muss die Komplexitätsanforderungen erfüllen: Deaktiviert
  • Passwörter mit umkehrbarer Verschlüsselung speichern: Deaktiviert
  • Mindestalter des Passworts: 0 Tage
  • Maximales Passwortalter: 42 Tage

Hinweis: Eine Kontosperrungsrichtlinie ist für RDS-für-SQL-Server-Instances, die nicht mit einem AD verbunden sind, nicht möglich. Eine Kontosperrungsrichtlinie erfordert Zugriff auf das zugrunde liegende Betriebssystem. Amazon RDS ist ein verwalteter Service, daher ist kein Zugriff auf Host-Ebene verfügbar.

Die RDS-für-SQL-Server-Instance ist mit einem Active Directory verbunden

Sie können Passwortrichtlinien erzwingen und ändern, wenn Sie die Windows-Authentifizierung für RDS für SQL Server verwenden. Wenn die RDS-Instance mit einer Domäne verbunden ist, hat die Domänenrichtlinie Vorrang vor der standardmäßigen RDS-Passwortrichtlinie.

Führen Sie die folgende Abfrage aus, um die mit der Passwortrichtlinie konfigurierten SQL-Anmeldungen und den Passwortablauf für die Instance zu identifizieren:

select name, type_desc, create_date, modify_date, is_policy_checked,

       is_expiration_checked,  isnull(loginproperty(name,'DaysUntilExpiration'),'-') Days_to_Expire,  is_disabled

from sys.sql_logins

Im Folgenden sind die verfügbaren Optionen für die Durchsetzung von Passwortrichtlinien und den Ablauf von Passwörtern für SQL-Server-Anmeldungen verfügbar:

Hinweis: Diese Optionen gelten nur für RDS-Instances, die mit einer Domäne verbunden sind.

  • Die Spalte policy_checked ist 0: Die SQL-Server-Anmeldung setzt keine Passwortrichtlinien durch.
  • Die Spalte policy_checked ist 1 und is_expiration_checked ist 0: Die SQL-Server-Anmeldung erzwingt die Komplexität und Sperrung des Passworts, aber nicht den Ablauf des Passworts.
  • Die Spalten policy_checked und is_expiration_checked sind beide 1: Die SQL-Server-Anmeldung erzwingt die Komplexität, Sperrung und den Ablauf des Passworts.

Wenn policy_checked und is_expiration_checked beide den Wert 0 haben, gilt die Richtlinie für den Masterbenutzer in Ihrer RDS-für-SQL-Server-DB-Instance. Dies weist darauf hin, dass die Passwortkomplexität, die Sperrungseinstellung und der Ablauf des Passworts für den Masterbenutzer nicht festgelegt sind. Der Masterbenutzer läuft also in RDS für SQL Server nicht ab. Wenn Ihr Masterbenutzer den Zugriff verliert, können Sie das Passwort zurücksetzen. Weitere Informationen finden Sie unter Warum hat der Masterbenutzer für meine RDS-für-SQL-Server-Instance den Zugriff verloren und wie kann ich ihn zurückgewinnen?


War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?