Consultoria DBA SQL Server

Quais são as diferentes maneiras de proteger o login Senha do Administrador (SA)? Todos estão cientes do login SA e de seus direitos de administrador, portanto, é muito arriscado se alguns usuários indesejados tentarem usar a conta SA ou hackear a conta SA.

Também não é aconselhável usar o usuário SA em qualquer aplicativo ou por usuários. Por isso, nesta dica, cobrimos algumas maneiras de reduzir o risco.

O usuário SA é criado durante o processo de instalação e ele tem todos os direitos no ambiente do SQL Server. A conta SA é bem conhecida e muitas vezes segmentada por usuários mal-intencionados, portanto, é aconselhável desativar o usuário SA, a menos que seu aplicativo exija isso.

Você pode usar as seguintes maneiras para proteger a conta SA

1. Use o modo de autenticação do Windows

Uma maneira de fazer isso é usar o “Modo de Autenticação de Janela” na caixa de diálogo Propriedades do Servidor, que permitirá o acesso somente aos logins do Windows e não aos logons do SQL. A Microsoft também recomenda o modo de autenticação do Windows.

Uma coisa a notar é que, embora você esteja usando a autenticação do Windows, você deve usar uma senha forte para o usuário SA, porque qualquer pessoa pode alterar o modo de autenticação atualizando o valor do registro e reiniciando o SQL Services.

Para alterar essa configuração no SQL Server Management Studio, clique com o botão direito do mouse no servidor, clique em Propriedades e vá para a página Segurança, conforme mostrado abaixo.

2. Desative o login do SA

Sem dúvida, desativar o usuário SA é uma boa opção para impedir seu uso. Assim, quando está desativado, ninguém pode usá-lo em nenhuma circunstância até que seja ativado. A única desvantagem é que não podemos usar a conta SA em caso de emergência.

Você pode usar o T-SQL abaixo para desativar o usuário SA.

-- Desabilitar Conta SA
ALTER LOGIN sa DISABLE

Esta consulta irá verificar o status da conta SA. Um valor de 1 indica que a conta está desativada e 0 indica que a conta está ativada.

-- Verificar o Status da Conta SA
SELECT [name], 
CASE 
WHEN is_disabled = 1 THEN 'Ativado'
ELSE 'Desativado'
END
FROM sys.server_principals WHERE name = 'sa'

3. Renomeie o logon do SA

Você também pode renomear o usuário SA, que impedirá hackers/usuários até certo ponto. A única desvantagem é que ele não altera o SID da conta SA, que por padrão é 0x01. Portanto, alguém pode encontrar o novo nome pesquisando o SID.

-- Alterar nome da conta SA
ALTER LOGIN sa WITH NAME = [novonome]

Essa consulta pode ser usada para pesquisar o nome da conta SA com base no SID.

SELECT * FROM sys.syslogins WHERE sid = 0x01