Требуется ли для изменения пароля «sa» перезапуск SQL (в смешанном режиме)?

Мы обнаружили, что учетная запись SQL «sa» используется не так, как должно было быть, поэтому мы меняем пароли sa во всех наших экземплярах SQL.

(У нас есть серверы с SQL 2005 по 2017, работающие в смешанном режиме аутентификации. Все пользователи и приложения должны использовать для подключения либо учетные записи домена, либо не учетные записи SQL, отличные от sa. Я наблюдал, но не нашел других приложений, пользователей или не -внутренние спиды с использованием учетной записи sa.)

Несколько вопросов:

В1: Требуется ли перезапуск SQL для изменения пароля?

Я нашел несколько ссылок, в которых говорится, что после изменения пароля учетной записи sa требуется перезапуск службы SQL:

• DBA SE: изменение пароля sa
• SQLAuthority: изменение пароля входа SA с помощью Management Studio

Это правда? Или только если я меняю режим аутентификации? Или только если я регулярно вхожу в систему как sa?

Этот поток SQL Server Central даже предлагает изменить его, что может повлиять на существующие задания агента SQL и другие вещи; это беспокойство? Или только если кто-то жестко закодировал учетную запись SA в пакет служб SSIS или что-то еще?

(В случае, если это имеет значение, мы используем учетные записи домена для службы SQL и службы агента SQL и учетные записи прокси-сервера домена для заданий, которые вызывают пакеты служб SSIS или сценарии PowerShell.)

Q2: Могу ли я сменить пароль sa "обычным" способом?

Могу ли я сбросить его, как любой другой аккаунт? Использование SSMS или, более вероятно, через:

ALTER LOGIN sa WITH PASSWORD = 'newpass';

Или я должен был бы войти в однопользовательский режим или что-то, что потребовало бы запланированного простоя? (Обратите внимание, что я запустил бы это из учетной записи домена, а не как "sa".)

Q3: Должны ли мы пытаться делать это чередование паролей на регулярной основе? Или только когда мы находим проблему?

Это рекомендуемая «лучшая практика»?

В1: Требуется ли перезапуск SQL для изменения пароля?

Нет, но изменение режима аутентификации делает. Поскольку вы просто меняете пароль, а режим аутентификации уже настроен на смешанный режим, вы можете просто сменить пароль.

Q2: Могу ли я сменить пароль sa "обычным" способом?

Да, это просто еще одна учетная запись SQL Login.

Q3: Должны ли мы пытаться делать это чередование паролей на регулярной основе? Или только когда мы находим проблему?

Если честно, я бы отключил и переименовал логин SA. Таким образом, он вообще не будет использоваться, и если вам нужен высокопривилегированный логин, вы можете создать его по мере необходимости.

Это закрытие двери сарая после того, как лошади уже убежали от вопроса.

Вы должны были переименовать и отключить учетную запись sa при создании экземпляра.

Каждый раз, когда у вас есть хорошо известная учетная запись, например, администратор в системе Windows или sa для SQL Server, вы должны предпринять определенные шаги для ее защиты. Давайте посмотрим, что конкретно вы должны делать с sa:

Установить трудно угадать пароль.

Переименовать sa.

Отключить са.

Убедитесь, что нет других учетных записей с именем sa.

Источник

Если вы используете учетную запись «sa» в качестве аварийного способа получения доступа к SQL, есть более безопасные способы: см. Подключение к SQL Server, когда системные администраторы заблокированы. Если у вас нет доступа к сетевой учетной записи, у вас больше проблем, чем отсутствие возможность подключения к SQL.