Erfordert das Ändern des Kennworts "sa" einen Neustart von SQL (im gemischten Modus)?

13

Wir haben festgestellt, dass ein SQL-Konto "sa" auf eine Weise verwendet wird, die es eigentlich nicht hätte sein dürfen. Daher ändern wir sa-Kennwörter für alle unsere SQL-Instanzen.

(Wir haben Server mit SQL 2005 bis 2017, die im gemischten Authentifizierungsmodus ausgeführt werden. Alle Benutzer und Anwendungen sollten Domänenkonten oder Nicht-Sa-SQL-Konten für die Verbindung verwenden. Ich habe überwacht, aber keine anderen Apps, Benutzer oder Nicht-Sa-Konten gefunden -interne Spids mit dem Konto sa.)

Ein paar Fragen:

F1: Erfordert das Ändern des sa-Passworts einen Neustart von SQL?

Ich habe einige Referenzen gefunden, die besagen, dass ein Neustart des SQL-Dienstes erforderlich ist, nachdem das Kennwort des sa-Kontos geändert wurde:

Ist das wahr? Oder nur, wenn ich den Authentifizierungsmodus ändere? Oder nur, wenn ich mich routinemäßig als sa anmelde?

Dieser SQL Server Central-Thread schlägt sogar vor, dass sich eine Änderung auf vorhandene SQL Agent-Jobs und andere Dinge auswirken könnte. ist das ein Anliegen? Oder nur, wenn jemand das SA-Konto in ein SSIS-Paket oder so etwas fest codiert hat?

(Falls es darauf ankommt, verwenden wir Domänenkonten für den SQL-Dienst und den SQL-Agentendienst sowie Domänenproxykonten für Aufträge, die SSIS-Pakete oder PowerShell-Skripts aufrufen.)

F2: Kann ich das sa-Passwort auf "normale" Weise ändern?

Kann ich es wie jedes andere Konto zurücksetzen? Verwendung von SSMS oder wahrscheinlich über:

ALTER LOGIN sa WITH PASSWORD = 'newpass';

Oder müsste ich in den Einzelbenutzermodus wechseln oder etwas, das geplante Ausfallzeiten erfordern würde? (Beachten Sie, dass ich dies von einem Domain-Konto ausführen würde, nicht wenn eine Verbindung als "sa" besteht.)

F3: Sollten wir versuchen, diese Passwortrotation regelmäßig durchzuführen? Oder erst, wenn wir ein Problem finden?

Ist dies eine empfohlene "Best Practice"?

BradC
quelle

Antworten:

15

F1: Erfordert das Ändern des sa-Passworts einen Neustart von SQL?

Nein, aber das Ändern des Authentifizierungsmodus funktioniert. Da Sie nur das Passwort ändern und der Authentifizierungsmodus bereits auf gemischt eingestellt ist, können Sie das Passwort einfach ändern.

F2: Kann ich das sa-Passwort auf "normale" Weise ändern?

Ja, es ist nur ein weiteres SQL-Anmeldekonto.

F3: Sollten wir versuchen, diese Passwortrotation regelmäßig durchzuführen? Oder erst, wenn wir ein Problem finden?

Um ganz ehrlich zu sein, würde ich die SA-Anmeldung deaktivieren und umbenennen. Auf diese Weise wird es überhaupt nicht verwendet, und wenn Sie ein hochprivilegiertes Login benötigen, können Sie bei Bedarf eines erstellen.

Sean sagt Entfernen Sie Sara Chipps
quelle
Benennen Sie es nicht um, aber es zu deaktivieren ist eine wirklich gute Idee.
Joshua
2
@Joshua Das Umbenennen ist eine gute Idee, insbesondere wenn Sie geprüft werden oder im Rahmen anderer Sicherheitsmaßnahmen, die im Rahmen von Compliance-Maßnahmen erforderlich sein können.
Sean sagt Entfernen Sara Chipps
2
Ich habe zu viel Zeit damit verbracht, kaputte Sachen aufzuspüren, weil jemand ein eingebautes Konto umbenannt hat, nachdem es benutzt wurde.
Joshua
@Joshua, wenn Sie es umbenannt und deaktiviert haben, als Sie es erstellt haben, wäre das kein Problem. Dies ist natürlich nur eine Lösung für die Zukunft. Das Umbenennen nach Monaten oder Jahren kann problematisch sein.
James Jenkins
@JamesJenkins: Ah, gut, dass Sie es verstanden haben.
Joshua
7

Dies ist ein Schließen der Scheunentür, nachdem die Pferde die Frage bereits abgelaufen sind.

Sie sollten das sa-Konto umbenannt und deaktiviert haben, als Sie die Instanz erstellt haben.

Jedes Mal, wenn Sie ein bekanntes Konto haben, z. B. einen Administrator auf einem Windows-System oder sa für SQL Server, sollten Sie bestimmte Schritte ausführen, um es zu sichern. Schauen wir uns genauer an, was Sie mit sa tun sollten:

Legen Sie ein schwer zu erratendes Passwort fest.

Sa umbenennen

Deaktivieren Sie sa.

Stellen Sie sicher, dass keine anderen Konten mit dem Namen sa vorhanden sind.

Quelle

Wenn Sie das 'sa'-Konto als Notfallmethode für den SQL-Zugriff verwenden, gibt es sicherere Methoden: Herstellen einer Verbindung zu SQL Server, wenn Systemadministratoren gesperrt sind Wenn Sie keinen Netzwerkkontozugriff haben, treten größere Probleme auf, als wenn Sie nicht angemeldet sind Verbindung zu SQL herstellen können.

James Jenkins
quelle
1
Ich kann sehen , Umbenennen sa, aber nicht deaktivieren es mich ganz verhindern , verbinden , wenn Domain - Authentifizierung in einem Notfall nicht mehr verfügbar ist? (Nicht, dass ich mich erinnern kann, dass ich dies jemals tun musste, aber ich versuche, alle Eventualitäten zu antizipieren.)
BradC
@BradC bearbeitet in Update Adressierung Ihres Kommentars
James Jenkins
Vielen Dank, wir werden das für eine langfristige Lösung in Betracht ziehen.
BradC
1
Es ist schwierig, wenn nicht unmöglich, die integrierte Authentifizierung vollständig zum Erliegen zu bringen, da der SQL Server-Dienst erst ausgeführt wird, wenn er sich anmelden kann. Sie müssen keine Active Directory-Domäne vorhanden haben, um die integrierte Windows-Authentifizierung zu verwenden. SQL Server kann Sie bei der lokalen Sicherheitsautorität authentifizieren.
Max Vernon