Descobrimos que uma conta "sa" do SQL está sendo usada de uma maneira que não deveria ter sido; portanto, estamos alterando as senhas do sa em todas as nossas instâncias do SQL.
(Temos servidores SQL 2005 a 2017 em execução no modo de autenticação mista. Todos os usuários e aplicativos devem usar contas de domínio ou contas SQL que não sejam sa para se conectar. Eu monitorava, mas não encontrei nenhum outro aplicativo, usuário ou não spids internos usando a conta sa.)
Algumas questões:
T1: alterar a senha sa requer uma reinicialização do SQL?
Encontrei algumas referências que dizem que é necessário reiniciar o serviço SQL depois de alterar a senha da conta sa:
Isso é verdade? Ou apenas se eu estiver alterando o modo de autenticação? Ou apenas se eu fizer logon rotineiramente como sa?
Esse encadeamento do SQL Server Central ainda sugere que alterá-lo, podendo afetar os trabalhos existentes do agente SQL e outras coisas; isso é uma preocupação? Ou apenas se alguém tiver codificado a conta SA em um pacote SSIS ou algo assim?
(Caso isso importe, usamos contas de domínio para o serviço SQL e o serviço do agente SQL e contas proxy de domínio para tarefas que chamam pacotes SSIS ou scripts do PowerShell.)
P2: Posso alterar a senha sa da maneira "normal"?
Posso redefini-lo como faria com qualquer outra conta? Usando SSMS, ou mais provavelmente via:
ALTER LOGIN sa WITH PASSWORD = 'newpass';
Ou precisaria entrar no modo de usuário único ou algo que exigiria tempo de inatividade planejado? (Observe que eu estaria executando isso em uma conta de domínio, não enquanto estiver conectado como "sa".)
Q3: devemos tentar fazer essa rotação de senha regularmente? Ou apenas quando encontramos um problema?
Essa é uma "prática recomendada"?
Isso é fechar a porta do celeiro depois que os cavalos já fugiram da pergunta.
Você deveria ter renomeado e desativado a conta sa ao criar a instância.
Fonte
Se você estiver mantendo a conta 'sa' como uma maneira emergencial de obter acesso ao SQL, existem maneiras mais seguras, consulte: Conectar-se ao SQL Server quando os administradores de sistema estão bloqueados Se você não tiver acesso à conta de rede, terá problemas maiores e não estará sendo capaz de se conectar ao SQL.
fonte