É aconselhável manter o usuário SA do sql server ativado?

Dependendo do contexto e da configuração de segurança da sua infraestrutura, deixe o usuário SA desativado.

E nunca deixe habilitado o 'Remember password' (Por incrível que pareça, é o que eu mais tenho visto).

Aqui estão alguns pontos a considerar:

1. Quando NÃO é aconselhável manter o usuário sa ativado:Risco de ataquesSA é um alvo comum para ataques de força bruta e tentativas de login não autorizado.
2. Configuração do SA como senha de serviços como SQL Agent, ERP... se você precisar mudar a senha um desses serviços pode parar.
3. Princípio do menor privilégio – Os usuários administrativos devem ter permissões específicas... acesso apenas ao que de fato ele vai precisar, em vez de usar uma conta com controle total.
4. Registro de ações – O uso de contas personalizadas permite rastrear melhor as atividades no banco de dados.
5. Conformidade com normas de segurança – Muitas normas de segurança, como a ISO 27001 e o PCI DSS , recomendam desativar contas padrões de controle total.

Quando pode ser aceitável mantê-lo ativado:

1. Ambientes de teste/laboratório – Não há riscos de segurança externos.
2. Exigência de softwares legados – Alguns sistemas antigos remanescentes do uso da conta SA.
3. Recuperação de emergências – Em algumas empresas, o SA é mantido ativado apenas para casos críticos, com acesso altamente restrito.

Boas práticas caso precise mantê-lo ativado:

• Alterar a senha padrão e definir uma senha forte.
• Usar autenticação do Windows sempre que possível, reduzindo o uso do SA.
• Monitorar tentativas de login e falhas de autenticação.
• Criar um login administrativo alternativo e desativar o SA, se possível.

Recomendação geral: Se puder, desative o SA e utilize logins administrativos personalizados com controle adequado de permissões.