Jak zweryfikować i zmienić hasło administratora systemu w aparacie MSDE lub programie SQL Server 2005 Express Edition

Streszczenie
W tym artykule krok po kroku opisano procedurę zmiany hasła sa (administrator systemu) programu SQL Server.

Program Microsoft SQL Server 2005 Express, program Microsoft SQL Server Desktop Engine (MSDE) w wersji 2000 lub starsze wersje programu Microsoft SQL Server można skonfigurować do działania w trybie uwierzytelniania mieszanego. Konto sa jest tworzone w trakcie procesu instalacji; konto sa ma pełne prawa w środowisku programu SQL Server. Domyślnie hasło konta sa jest puste (NULL), chyba że zostanie ono zmienione po uruchomieniu Instalatora aparatu MSDE. Zgodnie z najważniejszymi wskazówkami dotyczącymi zabezpieczeń, przy pierwszej okazji hasło sa trzeba zmienić na silne hasło.

Jak sprawdzić, czy hasło administratora systemu jest puste

 1. Na komputerze zawierającym wystąpienie aparatu MSDE, z którym się łączysz, otwórz okno wiersza polecenia.
 2. W wierszu polecenia wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:

  osql -U sa

  To polecenie spowoduje nawiązanie połączenia z lokalnym, domyślnym wystąpieniem aparatu MSDE przy użyciu konta sa. Aby połączyć się z wystąpieniem o określonej nazwie, zainstalowanym na danym komputerze, wpisz polecenie:

  osql -U sa -S nazwa_serwera\nazwa_wystąpienia

  Pojawia się wówczas następujący monit:

  Hasło:
 3. Naciśnij ponownie klawisz ENTER. W ten sposób dla konta sa zostanie przekazane puste hasło (NULL).

  Jeśli po naciśnięciu klawisza ENTER pojawi się poniższy monit, oznacza to, że nie ma hasła dla konta sa:

  1>

  Firma Microsoft zaleca, aby zgodnie z elementarnymi zasadami bezpieczeństwa utworzyć niepuste, silne hasło.

  Jeśli jednak pojawi się poniższy komunikat o błędzie, oznacza to, że wprowadzono niepoprawne hasło. Ten komunikat o błędzie wskazuje, że dla konta sa utworzono hasło:
  "Login Failed for user 'sa'."
  Następujący komunikat o błędzie wskazuje, że dla komputera z programem SQL Server jest ustawione tylko uwierzytelnianie systemu Windows:
  Login failed for user 'sa'. Powód: Not associated with a trusted SQL Server connection. (Logowanie nie powiodło się dla użytkownika '(null)'. Przyczyna: Brak skojarzenia z zaufanym połączeniem programu SQL Server).
  W trybie uwierzytelniania systemu Windows nie można zweryfikować hasła sa. Można jednak utworzyć hasło sa, tak aby konto sa było zabezpieczone, jeśli w przyszłości tryb uwierzytelniania zmieni się na mieszany.

  Jeśli pojawi się poniższy komunikat o błędzie, może to oznaczać, że program SQL Server nie jest uruchomiony lub że podano niepoprawną nazwę zainstalowanego wystąpienia programu SQL Server:
  [Shared Memory]Serwer SQL nie istnieje lub odmówiono do niego dostępu..
  [Shared Memory]ConnectionOpen (Connect()).

Jak zmienić hasło administratora systemu

 1. Na komputerze zawierającym wystąpienie aparatu MSDE, z którym się łączysz, otwórz okno wiersza polecenia.
 2. Wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:

  osql -U sa

  Po wyświetleniu monitu Hasło: naciśnij klawisz ENTER, jeśli hasło jest puste, lub wpisz bieżące hasło. To polecenie spowoduje nawiązanie połączenia z lokalnym, domyślnym wystąpieniem aparatu MSDE przy użyciu konta sa. Aby połączyć się przy użyciu uwierzytelniania systemu Windows, wpisz następujące polecenie: use osql -E

  Uwaga: Jeżeli używany jest program SQL Server 2005 Express, należy unikać korzystania z narzędzia Osql i zaplanować modyfikację aplikacji, które aktualnie korzystają z funkcji Osql. Należy zamiast tego korzystać z narzędzia Sqlcmd.

  Aby uzyskać więcej informacji dotyczących narzędzia Sqlcmd, odwiedź następującą witrynę usługi MSDN (Microsoft Developer Network) w sieci Web:
  http://msdn2.microsoft.com/en-us/library/ms165702.aspx
 3. W osobnych wierszach wpisz następujące polecenia, a następnie naciśnij klawisz ENTER:
  sp_password @old = null, @new = 'silne_hasło', @loginame ='sa'  go
  Uwaga: Należy zastąpić parametr „silne_hasło” nowym silnym hasłem. Silne hasło zawiera znaki alfanumeryczne oraz znaki specjalne i jest kombinacją wielkich oraz małych znaków.

  Pojawi się następujący komunikat, informujący o pomyślnej zmianie hasła:
  Password changed.

Jak ustalić lub zmienić tryb uwierzytelniania

Ważne: Ten artykuł zawiera informacje dotyczące modyfikowania rejestru. Przed zmodyfikowaniem rejestru wykonaj jego kopię zapasową. Upewnij się, że wiesz, jak przywrócić rejestr w przypadku pojawienia się problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej, przywracania i modyfikowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis rejestru systemu Microsoft Windows

Ostrzeżenie: Niepoprawne zmodyfikowanie rejestru przy użyciu Edytora rejestru lub innej metody może stać się przyczyną poważnych problemów. Mogą one wymagać ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie tych problemów będzie możliwe. Można modyfikować rejestr na własną odpowiedzialność.

Jeśli nie masz pewności, jak ustalić tryb uwierzytelniania instalacji aparatu MSDE, możesz sprawdzić odpowiedni wpis rejestru. Domyślnie wartość LoginMode podklucza rejestru systemu Windows jest równa 1 dla uwierzytelniania systemu Windows. Jeśli jest włączony tryb uwierzytelniania mieszanego, ta wartość wynosi 2.
 • Lokalizacja podklucza LoginMode zależy od tego, czy aparat MSDE zainstalowano jako wystąpienie domyślne aparatu MSDE czy też jako wystąpienie o określonej nazwie. Jeśli aparat MSDE zainstalowano jako wystąpienie domyślne, podklucz LoginMode znajduje się w następującym podkluczu rejestru:
  HKLM\Software\Microsoft\MSSqlserver\MSSqlServer\LoginMode

  Uwaga: Jeżeli używany jest program SQL Server 2005, niezależnie od zainstalowanego wystąpienia domyślnego lub nazwanego, należy zlokalizować następujący podklucz rejestru. MSSQL.x jest symbolem zastępczym dla wartości odpowiedniej dla systemu:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.x\MSSQLServer
 • Jeśli aparat MSDE zainstalowano jako wystąpienie o określonej nazwie, podklucz LoginMode znajduje się w następującym podkluczu rejestru:
  HKLM\Software\Microsoft\Microsoft SQL Server\%InstanceName%\MSSQLServer\LoginMode
Uwaga: Przed przełączeniem trybu uwierzytelniania trzeba ustawić hasło administratora systemu (sa), aby uniknąć potencjalnej luki w zabezpieczeniach.

Aby przełączyć tryb uwierzytelniania z mieszanego na zintegrowany (uwierzytelnianie systemu Windows), wykonaj następujące kroki:
 1. Aby zatrzymać usługę MSSQLSERVER i wszystkie inne powiązane z nią usługi (takie jak SQLSERVERAgent), otwórz aplet Usługi w Panelu sterowania.
 2. Otwórz Edytor rejestru. Aby otworzyć Edytor rejestru, kliknij przycisk Start, kliknij polecenie Uruchom, a następnie wpisz polecenie: „regedt32” (bez cudzysłowów)

  Kliknij przycisk OK.
 3. Zlokalizuj jeden z poniższych podkluczy (w zależności od tego, czy aparat MSDE został zainstalowany jako wystąpienie domyślne, czy jako wystąpienie nazwane):
  HKEY_LOCAL_MACHINE\Software\Microsoft\MSSqlserver\MSSqlServer
  lub
  HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\<Instance Name>\MSSQLServer\
 4. W prawym okienku kliknij dwukrotnie podklucz LoginMode.
 5. W oknie dialogowym Edytor DWORD ustaw dla tego podklucza wartość 1. Upewnij się, że jest zaznaczona opcja Szesnastkowy, a następnie kliknij przycisk OK.
 6. Ponownie uruchom usługi MSSQLSERVER i SQLSERVERAgent, co spowoduje zastosowanie wprowadzonych zmian.

Najważniejsze wskazówki dotyczące zabezpieczeń instalacji programu SQL Server

Przestrzeganie każdej z wymienionych wskazówek zapewni, że system będzie lepiej zabezpieczony — są one częścią standardowych „najważniejszych wskazówek” dotyczących zabezpieczeń dowolnej instalacji programu SQL Server.
 • Zabezpiecz konto logowania sa niepustym hasłem. Istnieją robaki, które działają tylko wtedy, gdy konto logowania sa nie jest zabezpieczone. Aby zapewnić, że wbudowane konto sa będzie miało silne hasło, trzeba przestrzegać zaleceń podanych w temacie „System Administrator (SA) Login” w książkach SQL Server Books Online, nawet jeśli konto sa nigdy nie będzie używane bezpośrednio.
 • Zablokuj port 1433 na bramach internetowych, a następnie przypisz programowi SQL Server inny port do nasłuchu.
 • Jeśli port 1433 musi być dostępny na bramach internetowych, włącz filtrowanie wyjściowe i wejściowe, aby zapobiec niewłaściwemu użyciu tego portu.
 • Uruchom usługę SQLServer i program SQL Server Agent przy użyciu konta systemu Microsoft Windows NT, a nie konta System lokalny.
 • Włącz uwierzytelnianie systemu Microsoft Windows NT, po czym włącz inspekcję pomyślnych i niepomyślnych prób logowania. Następnie zatrzymaj i uruchom ponownie usługę MSSQLServer. Skonfiguruj klientów do używania uwierzytelniania systemu Windows NT.
Materiały referencyjne
Aby uzyskać więcej informacji dotyczących możliwości wykorzystania luki związanej z pustym hasłem, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
313418 PRB: Unsecured SQL Server with blank (NULL) SA password leaves vulnerability to a worm
Aby uzyskać więcej informacji dotyczących zmiany zachowania programu SQL Server 2000 z dodatkiem Service Pack 1 w przypadku zmiany trybu uwierzytelniania, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
274773 FIX: If you change Windows Security to Windows/SQL Security, the SA password is blank
Właściwości

Identyfikator artykułu: 322336 — ostatni przegląd: 05/14/2011 05:52:00 — zmiana: 5.0

Microsoft SQL Server 2000 64-bit Edition, Microsoft SQL Server 2005 Express Edition

 • kbsqlmanagementtools kbhowtomaster KB322336
Opinia