¿Cambiar la contraseña "sa" requiere un reinicio de SQL (en modo mixto)?

Descubrimos que una cuenta "sa" de SQL se usa de una manera que no debería haber sido, por lo que estamos cambiando las contraseñas sa en todas nuestras instancias de SQL.

(Tenemos servidores de SQL 2005 a 2017 que se ejecutan en modo de autenticación mixta. Todos los usuarios y aplicaciones deben usar cuentas de dominio o cuentas SQL que no sean sa para conectarse. He estado monitoreando, pero no he encontrado ninguna otra aplicación, usuario o no - spids internos usando la cuenta sa.)

Unas cuantas preguntas:

Q1: ¿Cambiar la contraseña sa requiere un reinicio de SQL?

Encontré algunas referencias que dicen que es necesario reiniciar el servicio SQL después de cambiar la contraseña de la cuenta sa:

• DBA SE: Cambiar una contraseña
• SQLAuthority: Cambiar contraseña de inicio de sesión de SA con Management Studio

¿Es eso cierto? ¿O solo si estoy cambiando el modo de autenticación? ¿O solo si inicio sesión habitualmente como sa?

Este subproceso de SQL Server Central incluso sugiere que cambiarlo podría afectar los trabajos existentes del agente SQL y otras cosas; ¿Es eso una preocupación? ¿O solo si alguien ha codificado la cuenta SA en un paquete SSIS o algo así?

(En caso de que sea importante, utilizamos cuentas de dominio para el servicio SQL y el servicio del agente SQL, y cuentas de proxy de dominio para trabajos que llaman paquetes SSIS o scripts de PowerShell).

P2: ¿Puedo cambiar la contraseña sa de la forma "normal"?

¿Puedo restablecerlo como lo haría con cualquier otra cuenta? Usando SSMS, o más probablemente a través de:

ALTER LOGIN sa WITH PASSWORD = 'newpass';

¿O tendría que ingresar al modo de usuario único o algo que requeriría un tiempo de inactividad planificado? (Tenga en cuenta que estaría ejecutando esto desde una cuenta de dominio, no mientras esté conectado como "sa").

P3: ¿Deberíamos intentar hacer esta rotación de contraseña de forma regular? ¿O solo cuando encontramos un problema?

¿Es esta una "mejor práctica" recomendada?

Q1: ¿Cambiar la contraseña sa requiere un reinicio de SQL?

No, pero cambiar el modo de autenticación sí. Dado que solo está cambiando la contraseña y el modo de autenticación ya está configurado como mixto, puede comenzar simplemente cambiando la contraseña.

P2: ¿Puedo cambiar la contraseña sa de la forma "normal"?

Sí, es solo otra cuenta de inicio de sesión SQL.

P3: ¿Deberíamos intentar hacer esta rotación de contraseña de forma regular? ¿O solo cuando encontramos un problema?

Para ser honesto, deshabilitaría y cambiaría el nombre del inicio de sesión SA. De esta manera, no se utilizará, y si necesita un inicio de sesión altamente privilegiado, puede hacer uno según sea necesario.

Esto es un cierre de la puerta del granero después de que los caballos ya salieron corriendo de la pregunta.

Debería haber cambiado el nombre y deshabilitado la cuenta sa cuando creó la instancia.

Cada vez que tenga una cuenta bien conocida, como administrador en un sistema Windows o sa para SQL Server, debe seguir ciertos pasos para asegurarla. Veamos específicamente lo que debe hacer con sa:

Establece una contraseña difícil de adivinar.

Rename sa.

Desactivar sa.

Asegúrese de que no existan otras cuentas llamadas sa.

Fuente

Si mantiene la cuenta 'sa' como una forma de emergencia para obtener acceso a SQL, hay formas más seguras de ver: Conéctese a SQL Server cuando los administradores del sistema están bloqueados Si no tiene acceso a la cuenta de red, tiene mayores problemas que no estar capaz de conectarse a SQL.