Directiva de contraseas

[Este tema pertenece a la documentacin de la versin preliminar y est sujeto a cambios en versiones futuras. Los temas en blanco se incluyen como
marcadores de posicin. NOTA: Con el fin de proporcionarle contenido adicional en distintos idiomas, Microsoft ofrece documentacin localizada mediante
mtodos de traduccin alternativos. Para esta versin preliminar, parte del contenido de esta documentacin se ha traducido mediante el uso de estos
mtodos. Microsoft es consciente de que los documentos traducidos de esta forma no son siempre perfectos, por lo que es posible que este artculo
contenga errores de vocabulario, sintaxis o gramtica. La versin final de este contenido se traducir por los mtodos tradicionales y la calidad ser igual
que la de las versiones anteriores.]
Cuando SQL Server se ejecuta en Windows Server 2003 o versiones posteriores, puede utilizar mecanismos de directiva de contraseas de Windows.
SQL Server puede aplicar las mismas directivas de complejidad y caducidad que se usan en Windows Server 2003 a las contraseas que se usan en SQL
Server. Esta funcionalidad depende de la API
, que slo est disponible en Windows Server 2003 y

NetValidatePasswordPolicy

versiones posteriores.

Complejidad de las contraseas

Las directivas de complejidad de contraseas estn diseadas para impedir ataques por fuerza bruta mediante el aumento del nmero de contraseas
posibles. Cuando se aplica la directiva de complejidad de contraseas, se exige que las nuevas contraseas cumplan las siguientes directrices:

La contrasea no debe contener parte o todo el nombre de la cuenta del usuario. Una parte de un nombre de cuenta se define como tres o
ms caracteres alfanumricos consecutivos delimitados en ambos extremos por un espacio en blanco, como un espacio, tabulacin, retorno,
etc., o por alguno de los siguientes caracteres: coma (,), punto (.), guin (-), carcter de subrayado (_) o signo de almohadilla (#).

La contrasea debe tener una longitud de ocho caracteres como mnimo.

La contrasea debe contener caracteres de tres de las siguientes categoras:

Letras en maysculas del alfabeto Latn (de la A a la Z)

Letras en minsculas del alfabeto Latn (de la "a" a la "z")

Dgitos en base 10 (del 0 al 9)

Caracteres que no sean alfanumricos, como signo de admiracin (!), signo de moneda ($), signo de almohadilla (#) o porcentaje
(%).
Las contraseas pueden tener hasta 128 caracteres. Se recomienda utilizar contraseas lo ms largas y complejas posible.

Caducidad de las contraseas

Las directivas de caducidad de contraseas se utilizan para administrar la duracin de una contrasea. Cuando SQL Server aplica la directiva de caducidad
de contraseas, se recuerda a los usuarios que cambien las contraseas antiguas, y las cuentas con contraseas que han caducado se deshabilitan.

Aplicacin de las directivas

La aplicacin de la directiva de contraseas se puede configurar independientemente para cada inicio de sesin de SQL Server. Utilice ALTER LOGIN
(Transact-SQL) para configurar las opciones de la directiva de contraseas de un inicio de sesin de SQL Server. Se aplican las siguientes reglas a la
configuracin de la aplicacin de directivas de contraseas:

Cuando el valor de CHECK_POLICY se cambia a ON, ocurre lo siguiente:

CHECK_EXPIRATION tambin se establece en ON, salvo que se haya establecido de forma explcita en OFF.

El historial de contraseas se inicializa con el valor hash de la contrasea actual.

Cuando el valor de CHECK_POLICY se cambia a OFF, ocurre lo siguiente:

CHECK_EXPIRATION tambin se establece en OFF.

Se borra el historial de contraseas.

Se restablece el valor de

lockout_time.

Algunas combinaciones de opciones de directiva no se admiten.

Si se especifica MUST_CHANGE, CHECK_EXPIRATION y CHECK_POLICY deben establecerse en ON. De lo contrario, se producir un error en la
instruccin.

Si CHECK_POLICY se establece en OFF, CHECK_EXPIRATION no puede establecerse en ON. Se producir un error en una instruccin ALTER
LOGIN que combine estas dos opciones.
Importante:
CHECK_EXPIRATION y CHECK_POLICY slo se aplican en Windows Server 2003 y versiones posteriores.
Importante:
Un problema conocido de Windows Server 2003 puede impedir que el recuento de contraseas errneas se restablezca una vez

LockoutThreshold

alcanzado
. Esto puede provocar un bloqueo inmediato en posteriores intentos de inicio de sesin errneos. Puede restablecer el
recuento de contraseas errneas de forma manual; para ello, tiene que establecer simplemente CHECK_POLICY = OFF, seguido de CHECK_POLICY = ON.
Cuando se ejecuta SQL Server en Windows 2000, puede establecer CHECK_POLICY = ON para evitar la creacin de contraseas que sean:

NULL o vacas

Iguales al nombre del equipo o el inicio de sesin

Una de las siguientes: "password", "admin", "administrator", "sa", "sysadmin"

La directiva de seguridad se podra establecer en Windows o se podra recibir del dominio. Para ver la directiva de contraseas en el equipo, utilice el
complemento de MMC Directiva de seguridad local (secpol.msc).

Vea tambin
Conceptos
Contraseas seguras
Otros recursos
CREATE LOGIN (Transact-SQL)
ALTER LOGIN (Transact-SQL)
Ayuda e informacin
Obtener ayuda acerca de SQL Server 2008 R2

Etiquetas : Agregar una etiqueta

Contenido de la comunidad