對於衆所周知賬戶,如Windows的administrator賬戶,SQL Server 的sa賬戶,我們都需要確認其是否安全。下面我們給出加強sa賬戶安全的四種方案:
-
給sa強密碼
-
修改sa名稱
-
禁用sa賬戶
-
只使用Windows登陸驗證
如下給出前三種加強sa賬戶安全的腳本:
use master
go
--給sa強密碼
alter login sa with password='4pvhXI7wd^e^XGJ&'
with chech_policy=on
,check_expiration=off
--修改sa名稱爲testsa
alter login sa with name=[testSa]
alter login testSa with name=sa
--sa賬號信息,無論sa被改爲什麼名稱,sa 的sid一直不變
select * from sys.syslogins
where sid=0x01
--停用sa賬號,並給予一個隨機密碼
EXEC sp_SetAutoSAPasswordAndDisable
select * from sys.syslogins
where name='sa'
--禁用sa賬戶
alter login sa disable
第四種方案是對SQL Server登陸驗證方式的設置,只使用Windows身份驗證登陸,SQL Server賬戶不能登陸,那麼sa也就無法使用了。
我本人比較喜歡第三種方式,禁用掉sa賬戶。下圖顯示sa賬戶爲禁用狀態:
當然有些SQL Server版本,安裝好,已經禁用掉sa賬戶,如SQL Server 2016 所以是不需要另外去操作的。而對於沒有禁用掉sa賬戶的SQL Server版本,禁用sa賬戶之前,需要保證至少有一個是sysadmin角色成員的可用賬戶,並且你清楚的記得其密碼,切記,否則,當你禁用掉sa賬戶後,會發現你需要的管理權限都沒有了,再需要重新啓用sa賬戶,造成不必要的麻煩。