Descubrimos que una cuenta "sa" de SQL se usa de una manera que no debería haber sido, por lo que estamos cambiando las contraseñas sa en todas nuestras instancias de SQL.
(Tenemos servidores de SQL 2005 a 2017 que se ejecutan en modo de autenticación mixta. Todos los usuarios y aplicaciones deben usar cuentas de dominio o cuentas SQL que no sean sa para conectarse. He estado monitoreando, pero no he encontrado ninguna otra aplicación, usuario o no - spids internos usando la cuenta sa.)
Unas cuantas preguntas:
Q1: ¿Cambiar la contraseña sa requiere un reinicio de SQL?
Encontré algunas referencias que dicen que es necesario reiniciar el servicio SQL después de cambiar la contraseña de la cuenta sa:
- DBA SE: Cambiar una contraseña
- SQLAuthority: Cambiar contraseña de inicio de sesión de SA con Management Studio
¿Es eso cierto? ¿O solo si estoy cambiando el modo de autenticación? ¿O solo si inicio sesión habitualmente como sa?
Este subproceso de SQL Server Central incluso sugiere que cambiarlo podría afectar los trabajos existentes del agente SQL y otras cosas; ¿Es eso una preocupación? ¿O solo si alguien ha codificado la cuenta SA en un paquete SSIS o algo así?
(En caso de que sea importante, utilizamos cuentas de dominio para el servicio SQL y el servicio del agente SQL, y cuentas de proxy de dominio para trabajos que llaman paquetes SSIS o scripts de PowerShell).
P2: ¿Puedo cambiar la contraseña sa de la forma "normal"?
¿Puedo restablecerlo como lo haría con cualquier otra cuenta? Usando SSMS, o más probablemente a través de:
ALTER LOGIN sa WITH PASSWORD = 'newpass';
¿O tendría que ingresar al modo de usuario único o algo que requeriría un tiempo de inactividad planificado? (Tenga en cuenta que estaría ejecutando esto desde una cuenta de dominio, no mientras esté conectado como "sa").
P3: ¿Deberíamos intentar hacer esta rotación de contraseña de forma regular? ¿O solo cuando encontramos un problema?
¿Es esta una "mejor práctica" recomendada?