La modifica della password "sa" richiede un riavvio di SQL (in modalità mista)?

Abbiamo scoperto che un account "sa" di SQL veniva utilizzato in un modo che non avrebbe dovuto essere, quindi stiamo cambiando le password di sa in tutte le nostre istanze SQL.

(Abbiamo server SQL 2005-2017 in esecuzione in modalità di autenticazione mista. Tutti gli utenti e le applicazioni dovrebbero utilizzare account di dominio o account SQL non sa per connettersi. Ho monitorato, ma non ho trovato altre app, utenti o non -internal spids utilizzando l'account sa.)

Alcune domande:

Q1: la modifica della password sa richiede un riavvio di SQL?

Ho trovato alcuni riferimenti che dicono che è necessario riavviare il servizio SQL dopo aver modificato la password dell'account sa:

• DBA SE: modifica della password
• SQLAuthority: modifica la password dell'accesso SA mediante Management Studio

È vero? O solo se sto cambiando la modalità di autenticazione? O solo se accedo regolarmente come sa?

Questo thread di SQL Server Central suggerisce anche che la modifica potrebbe avere un impatto sui lavori dell'agente SQL esistenti e su altre cose; è una preoccupazione? O solo se qualcuno ha codificato l'account SA in un pacchetto SSIS o qualcosa del genere?

(Nel caso in cui sia importante, utilizziamo account di dominio per il servizio SQL e il servizio agente SQL e account proxy di dominio per processi che chiamano pacchetti SSIS o script PowerShell.)

Q2: Posso cambiare la password sa nel modo "normale"?

Posso resettarlo come farei con qualsiasi altro account? Utilizzando SSMS, o più probabilmente tramite:

ALTER LOGIN sa WITH PASSWORD = 'newpass';

O dovrei entrare in modalità utente singolo o qualcosa che richiederebbe tempi di inattività pianificati? (Nota che eseguirò questo da un account di dominio, non mentre sono connesso come "sa".)

Q3: dovremmo provare a fare questa rotazione della password su base regolare? O solo quando troviamo un problema?

Si tratta di una "best practice" consigliata?

Q1: la modifica della password sa richiede un riavvio di SQL?

No, ma cambiando la modalità di autenticazione lo fa. Dal momento che stai solo cambiando la password e la modalità di autenticazione è già impostata su mista, sei a posto semplicemente cambiando la password.

Q2: Posso cambiare la password sa nel modo "normale"?

Sì, è solo un altro account di accesso SQL.

Q3: dovremmo provare a fare questa rotazione della password su base regolare? O solo quando troviamo un problema?

Ad essere onesti, disabiliterei e rinominerei il login SA. In questo modo non verrà utilizzato affatto e se hai bisogno di un accesso altamente privilegiato, puoi crearne uno secondo necessità.

Si tratta di chiudere la porta della stalla dopo che i cavalli sono già scappati di domanda.

Dovresti aver rinominato e disabilitato l'account sa quando hai creato l'istanza.

Ogni volta che si dispone di un account noto, come amministratore su un sistema Windows o sa per SQL Server, è necessario adottare alcune misure per proteggerlo. Diamo un'occhiata in particolare a cosa dovresti fare con sa:

Imposta una password difficile da indovinare.

Rinomina sa.

Disabilita sa.

Assicurarsi che non esistano altri account denominati sa.

fonte

Se stai mantenendo l'account "sa" come modo di emergenza per ottenere l'accesso a SQL, ci sono modi più sicuri, vedi: Connetti a SQL Server quando gli amministratori di sistema sono bloccati Se non hai accesso all'account di rete, hai problemi più grandi che non essere in grado di connettersi a SQL.