「sa」パスワードを変更するには、SQLを再起動する必要がありますか（混合モードで）？

SQL "sa"アカウントが使用されるべきでない方法で使用されていることを発見したため、すべてのSQLインスタンスでsaパスワードを変更しています。

（SQL 2005〜2017のサーバーは混合認証モードで実行されています。すべてのユーザーとアプリケーションは、ドメインアカウントまたは非sa SQLアカウントを使用して接続する必要があります。監視していますが、他のアプリ、ユーザー、または非-saアカウントを使用した内部spid。）

いくつかの質問：

Q1：saパスワードを変更するには、SQLの再起動が必要ですか？

saアカウントのパスワードを変更した後、SQLサービスの再起動が必要であると言ういくつかの参照を見つけました。

• DBA SE：saパスワードの変更
• SQLAuthority：Management Studioを使用したSAログインのパスワードの変更

本当？または、認証モードを変更する場合にのみ？または、私が日常的にsaとしてログオンする場合のみ？

このSQL Server Centralスレッドは、変更すると既存のSQLエージェントジョブなどに影響を与える可能性があることを示唆しています。それは心配ですか？または、誰かがSAアカウントをSSISパッケージなどにハードコーディングした場合にのみ？

（重要な場合は、SQLサービスとSQLエージェントサービスにドメインアカウントを使用し、SSISパッケージまたはPowerShellスクリプトを呼び出すジョブにドメインプロキシアカウントを使用します。）

Q2：saパスワードを「通常の」方法で変更できますか？

他のアカウントと同じようにリセットできますか？SSMSを使用するか、より可能性が高い：

ALTER LOGIN sa WITH PASSWORD = 'newpass';

または、シングルユーザーモードまたは計画的なダウンタイムを必要とするモードに入る必要がありますか？（「sa」として接続しているときではなく、ドメインアカウントから実行していることに注意してください。）

Q3：このパスワードのローテーションを定期的に実行する必要がありますか？または、問題が見つかった場合のみ？

これは推奨される「ベストプラクティス」ですか？

Q1：saパスワードを変更するには、SQLの再起動が必要ですか？

いいえ。ただし、認証モードを変更することはできます。パスワードを変更するだけで、認証モードが既に混合に設定されているため、パスワードを変更するだけで十分です。

Q2：saパスワードを「通常の」方法で変更できますか？

はい、それは別のSQLログインアカウントです。

Q3：このパスワードのローテーションを定期的に実行する必要がありますか？または、問題が見つかった場合のみ？

正直に言うと、SAログインを無効にして名前を変更します。この方法ではまったく使用されず、高度な特権のログインが必要な場合は、必要に応じて作成できます。

これは馬がすでに問題を逃した後、納屋のドアを閉めることです。

インスタンスを作成したときに、saアカウントの名前を変更して無効にする必要があります。

Windowsシステムの管理者やSQL Serverのsaなど、よく知られたアカウントを持っている場合は常に、それを保護するための特定の手順を実行する必要があります。saで何をすべきかを具体的に見てみましょう。

推測しにくいパスワードを設定します。

saの名前を変更します。

saを無効にします。

saという名前の他のアカウントが存在しないことを確認します。

ソース

SQLアクセスを取得する緊急の方法として「sa」アカウントを保持している場合は、より安全な方法があります。システム管理者がロックアウトされているときにSQL Serverに接続するネットワークアカウントにアクセスできない場合、 SQLに接続できる。