SA 계정 이름 변경 및 비활성화
- Version : SQL Server 2005, 2008, 2008R2, 2012, 2014, 2016
SQL Server를 설치하면 기본적으로 SA 계정이 생성되어 사용된다. 보안 규칙이 잘 정의된 조직이라면 SA에 대한 보안에 많은 신경을 쓰지만 일부 조직에서는 SA를 기본적으로 사용하는 곳도 많다. SA 계정은 외부 위협으로부터 많이 사용되는 계정이므로 보안을 강화하거나 비활성화 하여 노출을 최소화하는 것이 좋다.
SA 계정에 대한 보안을 강화하기 위한 방법은 크게 4가지가 있다.
- 암호를 추측할 수 없도록 복잡하게 구성한다.
- SA의 이름을 변경한다.
- SA를 사용하지 않도록 비활성화 한다.
- 다른 계정 이름이 SA가 없는지 확인한다.
[SA 로그인 이름 바꾸기]
SSMS에서 [보안] – [로그인]에서 현재 생성되어 있는 계정을 확인할 수 있다.
또는 아래 스크립트를 사용하여 조회가 가능하다. SA 계정은 항상 SID가 0x01로 되어 있다.
SELECT name FROM sys.sql_logins WHERE sid = 0x01; |
이름을 변경하기 위해서 SA의 속성을 실행하면 회식으로 표시되어 GUI에서 변경할 수 없다.
이름을 변경하기 위해서 SA에서 마우스 오른쪽을 클릭하여 [이름 바꾸기]를 선택하여 변경 할 수 있다.
아래 스크립트는 sa 계정의 이름을 old_sa로 변경한다.
ALTER LOGIN [sa] WITH NAME = [old_sa]; |
[SA 계정 비활성화]
SA 계정을 비활성화 하는 방법이다. SSMS에서 sa의 속성에서 [상태] - [로그인]에서 [사용안함]을 선택한다.
스크립트로 비활성화도 가능하다. 아래 스크립트는 SA 계정을 비활성화 한다.
ALTER LOGIN [sa] DISABLE; |
SA 계정이 비활성화 되어 있는데 SA 계정으로 로그인을 시도한 경우 에러로그에 다음과 같이 기록됨을 확인할 수 있다.
[SA 이름의 계정이 있는지 확인]
일부 어플리케이션 등에서 SA계정을 사용하는 경우 SA 계정을 생성하여 사용할 수도 있다. 아래스크립트를 주기적으로 실행하여 SA 계정 여부를 확인할 수 있다.
SELECT sid, name FROM sys.sql_logins WHERE name = 'sa'; |
강성욱 / jevida@naver.com
Microsoft SQL Server MVP
Blog : http://sqlmvp.kr
Facebook : http://facebook.com/sqlmvp