Erfordert das Ändern des Kennworts "sa" einen Neustart von SQL (im gemischten Modus)?

Wir haben festgestellt, dass ein SQL-Konto "sa" auf eine Weise verwendet wird, die es eigentlich nicht hätte sein dürfen. Daher ändern wir sa-Kennwörter für alle unsere SQL-Instanzen.

(Wir haben Server mit SQL 2005 bis 2017, die im gemischten Authentifizierungsmodus ausgeführt werden. Alle Benutzer und Anwendungen sollten Domänenkonten oder Nicht-Sa-SQL-Konten für die Verbindung verwenden. Ich habe überwacht, aber keine anderen Apps, Benutzer oder Nicht-Sa-Konten gefunden -interne Spids mit dem Konto sa.)

Ein paar Fragen:

F1: Erfordert das Ändern des sa-Passworts einen Neustart von SQL?

Ich habe einige Referenzen gefunden, die besagen, dass ein Neustart des SQL-Dienstes erforderlich ist, nachdem das Kennwort des sa-Kontos geändert wurde:

• DBA SE: Passwort ändern
• SQLAuthority: Kennwort der SA-Anmeldung mit Management Studio ändern

Ist das wahr? Oder nur, wenn ich den Authentifizierungsmodus ändere? Oder nur, wenn ich mich routinemäßig als sa anmelde?

Dieser SQL Server Central-Thread schlägt sogar vor, dass sich eine Änderung auf vorhandene SQL Agent-Jobs und andere Dinge auswirken könnte. ist das ein Anliegen? Oder nur, wenn jemand das SA-Konto in ein SSIS-Paket oder so etwas fest codiert hat?

(Falls es darauf ankommt, verwenden wir Domänenkonten für den SQL-Dienst und den SQL-Agentendienst sowie Domänenproxykonten für Aufträge, die SSIS-Pakete oder PowerShell-Skripts aufrufen.)

F2: Kann ich das sa-Passwort auf "normale" Weise ändern?

Kann ich es wie jedes andere Konto zurücksetzen? Verwendung von SSMS oder wahrscheinlich über:

ALTER LOGIN sa WITH PASSWORD = 'newpass';

Oder müsste ich in den Einzelbenutzermodus wechseln oder etwas, das geplante Ausfallzeiten erfordern würde? (Beachten Sie, dass ich dies von einem Domain-Konto ausführen würde, nicht wenn eine Verbindung als "sa" besteht.)

F3: Sollten wir versuchen, diese Passwortrotation regelmäßig durchzuführen? Oder erst, wenn wir ein Problem finden?

Ist dies eine empfohlene "Best Practice"?

F1: Erfordert das Ändern des sa-Passworts einen Neustart von SQL?

Nein, aber das Ändern des Authentifizierungsmodus funktioniert. Da Sie nur das Passwort ändern und der Authentifizierungsmodus bereits auf gemischt eingestellt ist, können Sie das Passwort einfach ändern.

F2: Kann ich das sa-Passwort auf "normale" Weise ändern?

Ja, es ist nur ein weiteres SQL-Anmeldekonto.

F3: Sollten wir versuchen, diese Passwortrotation regelmäßig durchzuführen? Oder erst, wenn wir ein Problem finden?

Um ganz ehrlich zu sein, würde ich die SA-Anmeldung deaktivieren und umbenennen. Auf diese Weise wird es überhaupt nicht verwendet, und wenn Sie ein hochprivilegiertes Login benötigen, können Sie bei Bedarf eines erstellen.

Dies ist ein Schließen der Scheunentür, nachdem die Pferde die Frage bereits abgelaufen sind.

Sie sollten das sa-Konto umbenannt und deaktiviert haben, als Sie die Instanz erstellt haben.

Jedes Mal, wenn Sie ein bekanntes Konto haben, z. B. einen Administrator auf einem Windows-System oder sa für SQL Server, sollten Sie bestimmte Schritte ausführen, um es zu sichern. Schauen wir uns genauer an, was Sie mit sa tun sollten:

Legen Sie ein schwer zu erratendes Passwort fest.

Sa umbenennen

Deaktivieren Sie sa.

Stellen Sie sicher, dass keine anderen Konten mit dem Namen sa vorhanden sind.

Quelle

Wenn Sie das 'sa'-Konto als Notfallmethode für den SQL-Zugriff verwenden, gibt es sicherere Methoden: Herstellen einer Verbindung zu SQL Server, wenn Systemadministratoren gesperrt sind Wenn Sie keinen Netzwerkkontozugriff haben, treten größere Probleme auf, als wenn Sie nicht angemeldet sind Verbindung zu SQL herstellen können.