提到微软SQL Server数据库安全策略，首先会想到windows安全策略设置。那数据库用户的安全策略到底如何设置呢？其实SQL Server就可以使用 Windows密码策略机制。-密码策略可以使用SQL Server身份验证的登录名，并且也可以应用于具有密码的数据库用户。另外SQL Server数据库可以对在SQL内部使用的密码应用在widnows中使用相同复杂度和过期的策略。       注意：SQL Server数据库强制实施密码复杂性，具体密码过期和密码实施部分并不适用于SQL Sece数据库。

密码复杂性策略通过增加可能密码的数量来阻止强力攻击。 实施密码复杂性策略时，新密码必须符合以下原则：

密码过期策略用于管理密码的使用期限。 如果 SQL Server 实施密码过期策略，则系统将提醒用户更改旧密码，并禁用带有过期密码的帐户。

可为每个 SQL Server 登录名单独配置密码策略实施。 配置密码策略实施时，适用以下规则：

如果 CHECK_POLICY 改为 ON，则将出现以下行为：

如果 CHECK_POLICY 改为 OFF，则将出现以下行为

如果指定 MUST_CHANGE，则 CHECK_EXPIRATION 和 CHECK_POLICY 必须设置为 ON。 否则，该语句将失败。 如果 CHECK_POLICY 设置为 OFF，则 CHECK_EXPIRATION 不能设置为 ON。 包含此选项组合的 ALTER LOGIN 语句将失败。 设置 CHECK_POLICY = ON 将禁止创建以下类型的密码：

另外，可以在 Windows 中设置安全策略，也可以从域接收安全策略。 若要查看计算机上的密码策略，请使用本地安全策略 MMC 管理单元 (secpol.msc)。  

关于SQL Server数据库安全策略，为了保证数据库安全、稳定运行，最主要的要保证操作系统更加安全，一定要做好相应的安全加固工作。数据库用户建议利用SQL Server身份验证为不同的应用程序，根据不同的权限创建其对应的用户，不建议应用直接利用sa用户，sa用户仅限于数据库DBA使用。

参考：https://docs.microsoft.com/zh-cn/sql/relational-databases/security/password-policy?view=sql-server-2017