Windows認証モードと混在モードの違い

ある日、AはWindows認証モードと混在モード検証の違いと利点について尋ねましたが、セキュリティの観点から、この記事を参考にして、インストールプロセス中に〜

の下を学んでください。データベースエンジンに対して認証モードを選択する必要があります。選択できるモードは、Windows認証モードと混在モードの2つです。 Windows認証モードは、Windows認証を有効にし、SQL Server認証を無効にします。混在モードでは、Windows認証とSQL Server認証の両方が有効になります。 Windows認証は常に使用可能であり、無効にすることはできません。

認証モードの設定

インストール中に混在モード認証を選択した場合は、saという組み込みのSQL Serverシステム管理者アカウントに強力なパスワードを入力し、パスワードを確認する必要があります。 saアカウントはSQL Server認証を使用して接続します。

インストール処理中にWindows認証を選択した場合、インストーラはSQL Server認証用のsaアカウントを作成しますが、そのアカウントは無効にします。後で混在モード認証に変更してsaアカウントを使用する場合は、それを有効にする必要があります。システム管理者として、任意のWindowsアカウントまたはSQL Serverアカウントを設定できます。 saアカウントは広く知られており、悪意のあるユーザーをターゲットにしていることが多いため、アプリケーションがsaアカウントを必要としない限り、アカウントを有効にしないでください。 saアカウントに空白または弱いパスワードを設定しないでください。 Windows認証モードから混合モード認証に変更してSQL Server認証を使用するには、「サーバー認証モードを変更する」を参照してください。

Windows認証による接続

ユーザーがWindowsユーザーアカウントを介して接続すると、SQL ServerはオペレーティングシステムのWindowsプリンシパルトークンを使用して、アカウント名とパスワードを確認します。つまり、ユーザーIDはWindowsによって確認されます。 SQL Serverはパスワードや認証を必要としません。 Windows認証はデフォルトの認証モードであり、SQL Server認証よりも安全です。 Windows認証は、Kerberosセキュリティプロトコルを使用して、強力なパスワードの複雑さの検証、アカウントのロックアウトのサポート、およびパスワードの有効期限切れを防止するためのパスワードポリシーの適用を提供します。 SQL ServerがWindowsによって提供された資格情報を信頼するため、Windows認証を介して完了した接続は、信頼できる接続と呼ばれることがあります。

セキュリティの説明

可能な限りWindows認証を使用してください。

SQL Server認証を使用した接続

SQL Server認証を使用している場合、SQL Serverで作成されたログインはWindowsユーザーアカウントには基づいていません。ユーザー名とパスワードは、SQL Serverを使用して作成および保存されます。 SQL Server認証を介して接続するユーザーは、接続するたびに自分の資格情報（ログイン名とパスワード）を入力する必要があります。 SQL Server認証を使用する場合は、すべてのSQL Serverアカウントに強力なパスワードを設定する必要があります。

SQL Serverログインに使用できるパスワードポリシーは3種類あります。

ユーザーは次回ログイン時にパスワードを変更する必要があります。

次回接続時にパスワードを変更するようにユーザーに依頼します。パスワードを変更する機能は、SQL Server Management Studioによって提供されています。このオプションを使用する場合は、サードパーティソフトウェア開発者がこの機能を提供する必要があります。

パスワードの有効期限の強制

SQL Serverログインに対するコンピュータのパスワードの有効期間の最大ポリシーを適用します。

パスワードポリシーを適用する

SQL Serverログイン用のコンピューターのWindowsパスワードポリシーを適用します。これには、パスワードの長さとパスワードの複雑さが含まれます。この機能は、Windows Server 2003以降でのみ利用可能なNetValidatePasswordPolicy APIを介して実装する必要があります。

ローカルコンピュータのパスワードポリシーの決定

[スタート]メニューの[ファイル名を指定して実行]をクリックします。
[ファイル名を指定して実行]ダイアログボックスの[

]

[ローカルセキュリティ設定]アプリケーションで、[セキュリティ設定]、[アカウントポリシー]の順に展開し、[次へ]をクリックします。次に「secpol.msc」と入力し、[OK]をクリックします。結果ウィンドウに表示されているように、[パスワードポリシー]をクリックします。

パスワードポリシー。

SQL Server認証のデメリット

ユーザーがWindowsのログイン名とパスワードを持つWindowsドメインユーザーの場合は、接続用に別の（SQL Server）ログイン名とパスワードも指定する必要があります。複数のログインとパスワードを覚えておくことは、多くのユーザーにとって困難です。データベースに接続するたびにSQL Serverの資格情報を提供するのも面倒です。

SQL Server認証では、Kerberosセキュリティプロトコルを使用できません。

SQL Serverログインでは、Windowsが提供する他のパスワードポリシーを使用できません。

SQL Server認証の利点

従来のアプリケーションと、SQL Server認証を必要とするサードパーティが提供するアプリケーションをSQL Serverでサポートできます。

SQL Serverが、すべてのユーザーがWindowsドメインによって認証されていない混在オペレーティングシステムの環境をサポートすることを許可します。

ユーザーが未知または信頼できないドメインから接続することを許可します。たとえば、特定の顧客が指定されたSQL Serverログイン名を使用して接続し、注文のステータスを受け取るアプリケーションなどです。

SQL Serverが、ユーザーが自分のIDを作成できるWebベースのアプリケーションをサポートできるようにします。

ソフトウェア開発者は、既知の既定のSQL Serverログインに基づく複雑な特権階層を使用してアプリケーションを配布できます。

注

SQL Server認証を使用しても、SQL Serverがインストールされているコンピュータのローカル管理者権限は制限されません。