Проверка и промяна на паролата на системния администратор в MSDE или SQL Server 2005 Express Edition

КРАТКО ИЗЛОЖЕНИЕ

В тази статия се описват стъпките, които можете да използвате, за да промените паролата на sa (системния администратор) на SQL Server.

Можете да конфигурирате Microsoft SQL Server 2005 Express, Microsoft SQL Server Desktop Engine (MSDE) версия 2000 или по-ранни версии на Microsoft SQL Server да функционират в режим на смесено удостоверяване. Акаунтът на sa се създава по време на инсталационния процес. Този sa акаунт притежава пълни права в средата на SQL Server. По подразбиране sa паролата е празна (NULL), освен в случай, че я промените по време на работа с инсталационната програма на MSDE. За да спазите най-добрите практики за сигурност, трябва при първа възможност да смените паролата на sa със сигурна такава.

Как да проверите дали паролата на SA е празна

 1. Отворете прозореца на командния ред на компютъра, на който се намира екземплярът на MSDE, с който се свързвате.
 2. В командния ред въведете следната команда и натиснете клавиша ENTER:

  osql -U sa

  По този начин с помощта на акаунта на sa се свързвате с локалния екземпляр на MSDE по подразбиране. За свързване с екземпляр, притежаващ име и инсталиран на вашия компютър, въведете:

  osql -U sa -S име_на_сървъра\име_на_екземпляра

  Ще се появи следната подкана:

  Password: ("Парола:")
 3. Натиснете ENTER повторно. По този начин въвеждате празна парола за акаунта на sa.

  Ако след натискане на ENTER се появи следната подкана, това означава, че за акаунта на sa не е била зададена парола:

  1>

  За спазване на практиките за сигурност е препоръчително да създадете непразна сигурна парола.

  Ако се появи описаното по-долу съобщение, значи сте въвели неправилна парола. Появяването на това съобщение за грешка означава, че за акаунта на sa е била създадена парола:
  "Login Failed for user 'sa'." ("Неуспешен опит за вход от потребител 'sa'.")
  Следното съобщение за грешка означава, че компютърът със стартиран SQL Server е в режим Windows Authentication only ("Само удостоверяване за Windows"):
  Login failed for user 'sa'. ("Неуспешен опит за вход от потребител 'sa'.") Reason: ("Причина:") Not associated with a trusted SQL Server connection. ("Няма надеждна връзка със SQL Server.")
  В режима Windows Authentication ("Удостоверяване за Windows") не може да проверите вашата парола за sa акаунта. Обаче в този режим можете да създадете парола на sa, за да обезопасите акаунта на sa в случай, че в бъдеще режимът за удостоверяване бъде сменен с Mixed Mode ("Смесен режим").

  Ако се появи следното съобщение за грешка, това означава, че SQL Server не е стартиран или сте въвели неправилно име за инсталирания екземпляр на SQL Server:
  [Shared Memory]SQL Server does not exist or access denied. ("[Споделена памет]SQL Server не съществува или достъпът до него е отказан.")
  [Shared Memory]ConnectionOpen (Connect()).

Смяна на паролата на SA

 1. Отворете прозорец на командния ред на компютъра, на който се намира екземплярът на MSDE, с който се свързвате.
 2. Въведете следната команда и натиснете ENTER:

  osql -U sa

  Когато се появи подканата за въвеждане на Password: ("Парола:"), натиснете ENTER, ако паролата е празна, или въведете текущата парола. По този начин с помощта на акаунта на sa се свързвате с локалния екземпляр на MSDE по подразбиране. За свързване с помощта на Windows authentication ("Удостоверяване за Windows") въведете следната команда: use osql -E

  Забележка Ако работите с SQL Server 2005 Express, старайте се да не използвате помощната програма Osql и планирайте да модифицирате приложенията, които понастоящем използват функцията Osql. Вместо нея използвайте помощната програма Sqlcmd.

  За повече информация относно помощната програма Sqlcmd посетете следния уебсайт от Microsoft Developer Network (MSDN):
  http://msdn2.microsoft.com/bg-bg/library/ms165702.aspx
 3. Въведете следните команди на отделни редове, след което натиснете ENTER:
  sp_password @old = null, @new = 'complexpwd', @loginame ='sa' 
  go
  Забележка Уверете се, че сте заменили "сигурнапрл" с новата сигурна парола. За да се смята една парола сигурна, е необходимо тя да включва буквено-цифрени и специални символи, както и комбинация от големи и малки букви.

  След успешна смяна на паролата ще се появи следното съобщение:
  Password changed. ("Паролата е сменена.")

Определяне и промяна на режима за удостоверяване

Важно Тази статия съдържа информация за модифициране на системния регистър. Направете резервно копие на регистъра преди да го промените. Уверете се, че знаете как да възстановите регистъра в случай на възникване на проблем. За информация относно резервното копиране, възстановяването и модифицирането на системния регистър щракнете върху следния номер на статия в базата знания на Microsoft:
256986 Описание на системния регистър на Microsoft Windows

Предупреждения При неправилна промяна на регистъра с помощта на Registry Editor (Редактора на системния регистър) или по друг начин е възможно възникването на сериозни проблеми. Тези промени могат да наложат преинсталиране на вашата операционна система. Microsoft не може да гарантира, че тези проблеми ще са разрешими. Променяйте регистъра на свой собствен риск.

Ако не сте сигурни как да проверите режима за удостоверяване на вашата инсталация на MSDE, можете да проверите съответния запис в системния регистър. По подразбиране за Windows Authentication (Удостоверяване за Windows) стойността на подключа Windows LoginMode от системния регистър е 1. Когато е активиран режимът Mixed Mode authentication (Удостоверяване в смесен режим), тази стойност е равна на 2.
 • Местонахождението на подключа LoginMode зависи от това дали сте инсталирали MSDE като подразбиращ се екземпляр на MSDE или като екземпляр с име. Ако сте инсталирали MSDE като подразбиращ се екземпляр, подключът LoginMode се намира в следния подключ на системния регистър:
  HKLM\Software\Microsoft\MSSqlserver\MSSqlServer\LoginMode

  Забележка Ако използвате SQL Server 2005, независимо от това дали сте инсталирали подразбиращ се екземпляр или екземпляр с име, намерете посочения по-долу подключ на системния регистър. MSSQL.x е контейнер за съответстващата на вашата система стойност:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.x\MSSQLServer
 • Ако сте инсталирали MSDE като екземпляр с име, подключът LoginMode се намира в следния подключ на системния регистър:
  HKLM\Software\Microsoft\Microsoft SQL Server\%InstanceName%\MSSQLServer\LoginMode
Забележка Преди да смените режимите за удостоверяване, е необходимо да зададете парола за sa, за да предотвратите отварянето на дупка в защитата.

За да смените Mixed Mode (Смесен режим) с Integrated (Windows) ((Интегрирано) удостоверяване за Windows), изпълнете следните стъпки:
 1. За да спрете MSSQLSERVER и всички други свързани с него услуги (като например SQLSERVERAgent), отворете аплета Services (Услуги) в контролния панел.
 2. Отворете редактора на системния регистър. За да отворите редактора на системния регистър, натиснете Start ("Старт"), изберете Run ("Изпълни") и въведете: "regedt32" (без кавички)

  Натиснете OK.
 3. Намерете следните подключове (в зависимост от това дали сте инсталирали MSDE като подразбиращ се екземпляр на MSDE или като екземпляр с име:
  HKEY_LOCAL_MACHINE\Software\Microsoft\MSSqlserver\MSSqlServer
  или
  HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\<Instance Name>\MSSQLServer\
 4. В десния панел щракнете два пъти върху подключа LoginMode.
 5. В диалоговия прозорец DWORD Editor ("DWORD редактор") задайте стойността на този подключ да е 1. Уверете се, че опцията Hex е избрана и натиснете OK.
 6. Рестартирайте услугите MSSQLSERVER и SQLSERVERAgent, за да влезе в сила тази промяна.

Най-добри практики за сигурност по отношение на инсталацията на SQL Server

Всяко от посочените по-долу действия ще направи системата ви по-сигурна. Тези действия са част от стандартните "най-добри практики" за сигурност за всяка инсталация на SQL Server.
 • Обезопасете вашия sa акаунт, задавайки непразна парола. Съществуват червеи, които функционират само ако вашият sa акаунт е незащитен. Затова даже ако никога не използвате директно акаунта на sa, за да сте сигурни, че вграденият акаунт на sa притежава сигурна парола, е необходимо да следвате препоръките в темата "System Administrator (SA) Login" на справочника SQL Server Books Online.
 • Блокирайте порта 1433 на шлюзовете за Интернет, след което задайте SQL Server да прослушва друг порт.
 • Ако портът 1433 на шлюзовете за Интернет трябва да бъде отворен, активирайте филтрирането на входящия и изходящия трафик, за да предотвратите злоупотреби с порта.
 • Стартирайте услугата SQLServer и SQL Server Agent с помощта на акаунт на Microsoft Windows NT, а не акаунт на локалната система.
 • Включете режима за удостоверяване на Microsoft Windows NT, след което активирайте проследяването на успешни и неуспешни опити за влизане. След това спрете и рестартирайте услугата MSSQLServer. Конфигурирайте клиентските компютри да използват удостоверяване на Windows NT.

БИБЛИОГРАФИЯ

За да получите допълнителна информация относно начините за злоупотреба с празна парола на sa, щракнете върху следния номер на статия в базата знания на Microsoft:

313418 PRB: Незащитен SQL Server с празна (NULL) парола на SA създава уязвимост, от която може да се възползва червей (Тази връзка може да сочи към съдържание, което е отчасти или изцяло на английски)
За да получите допълнителна информация относно промените в поведението на версии на SQL Server 2000 след Service Pack 1 при промяна на режима за удостоверяване, щракнете върху следния номер на статия от базата знания на Microsoft:

274773 КОРЕКЦИЯ: При смяна на защитата на Windows с Windows/SQL защита паролата на SA става празна (Тази връзка може да сочи към съдържание, което е отчасти или изцяло на английски)
Свойства

ИД на статията: 322336 – Последен преглед: 11.05.2011 г. – Редакция: 1

Обратна връзка