Чи потрібна зміна пароля "sa" для перезавантаження SQL (у змішаному режимі)?

Ми виявили, що SQL "sa" обліковий запис використовується таким чином, яким він не повинен був бути, тому ми змінюємо паролі sa для всіх наших екземплярів SQL.

(У нас є сервери SQL 2005 по 2017 рік, які працюють у змішаному режимі аутентифікації. Усі користувачі та додатки повинні використовувати для підключення облікові записи домену або не-sa SQL акаунти. Я контролював, але не знайшов інших програм, користувачів чи інших -внутрішні павуки за допомогою акаунта sa.)

Кілька питань:

Q1: Чи потрібна зміна пароля sa, перезапуск SQL?

Я знайшов декілька посилань, які говорять про необхідність перезавантаження служби SQL після зміни пароля облікового запису sa:

• DBA SE: Зміна пароля
• SQLAuthority: змінення пароля для входу в систему SA за допомогою управління Studio

Це правда? Або лише якщо я змінюю режим аутентифікації? Або тільки якщо я регулярно входжу як sa?

Цей центральний потік SQL Server навіть пропонує змінити його, що може вплинути на існуючі завдання агента SQL та інші речі; це турбота? Або лише якщо хтось жорстко зашифрував обліковий запис SA у пакет SSIS чи щось таке?

(У випадку, якщо це має значення, ми використовуємо облікові записи домену для служби SQL і сервера агента SQL, а також облікові записи доменних проксі для завдань, які викликають SSIS-пакети або сценарії PowerShell.)

Q2: Чи можу я змінити пароль sa "нормальним" способом?

Чи можу я скинути його так, як і будь-який інший рахунок? Використання SSMS або, швидше за все, через:

ALTER LOGIN sa WITH PASSWORD = 'newpass';

Або мені доведеться перейти в режим однокористувача або щось, що вимагає запланованого простою? (Зверніть увагу, що я б запускав це з облікового запису домену, а не підключений як "sa".)

Q3: Чи варто намагатися регулярно обертати цей пароль? Або лише коли ми знайдемо проблему?

Це рекомендована "найкраща практика"?

Q1: Чи потрібна зміна пароля sa, перезапуск SQL?

Ні, але зміна режиму аутентифікації робить. Оскільки ви просто змінюєте пароль, а режим автентифікації вже встановлено на змішаний, ви можете просто змінити пароль.

Q2: Чи можу я змінити пароль sa "нормальним" способом?

Так, це просто ще один обліковий запис для входу в SQL.

Q3: Чи варто намагатися регулярно обертати цей пароль? Або лише коли ми знайдемо проблему?

Якщо чесно, я б відключив і перейменував логін SA. Таким чином він взагалі не буде використовуватися, і якщо вам потрібен високо привілейований логін, ви можете зробити його за потребою.

Це закриття дверей сараю після того, як коні вже розбіглися в питанні.

Вам слід було перейменувати та вимкнути обліковий запис sa, коли ви створили екземпляр.

Кожен раз, коли у вас є відомий обліковий запис, наприклад адміністратор в системі Windows або для SQL Server, ви повинні вжити певних заходів для його захисту. Давайте розглянемо конкретно, що вам слід робити з sa:

Встановіть важко здогадатися пароль.

Перейменуйте sa.

Відключити sa.

Переконайтесь, що немає інших облікових записів з назвою sa.

Джерело

Якщо ви зберігаєте обліковий запис 'sa' як екстрений спосіб отримати доступ до SQL, є більш безпечні способи, див. Підключення до SQL Server, коли системні адміністратори заблоковані Якщо у вас немає доступу до мережевого облікового запису, у вас є більші проблеми, а потім не бути можливість підключитися до SQL.