Другая неприятная ситуация при работе с новой системой безопасности может обескуражить неподготовленного пользователя. Всем известно, сколь опасно оставлять значение пароля для пользователя sa установленным по умолчанию, т.е. пустым. Однако, посетив множество клиентских сайтов с пустым паролем для sa, я на собственном опыте убедился, что это широко распространенная практика. Часто серверы готовой продукции защищают посредством усиленного пароля, тогда как для диалогового окна разработчиков пароль sa оставляют пустым, дабы не усложнять жизнь команде разработчиков». К сожалению, разработчики не продумали, что может сделать sa при помощи команды SQL Server xp_cmdshell, работающей от имени учетной записи Domain Administrator (а это обычная практика). Microsoft пытается повысить уровень безопасности за счет новой проверки, выполняемой в процессе инсталляции SP3. В файле Readme SP3 говорится: «Когда программа setup соединяется с SQL Server 7.0 или MSDE 1.0 для запуска sql-сценариев и обновляет хранимые процедуры, на экран выводится диалоговое окно "Authentication mode". Это происходит только в том случае, если программа обнаруживает смешанный режим аутентификации с пустым значением пароля sa. Таким образом, пользователям дается шанс подумать о безопасности и о том, каковы последствия работы с пустым значением пароля sa».
Это объяснение кажется вполне резонным, но дальше в файле Readme сказано, что значение по умолчанию параметра Authentication mode в диалоговом окне не совпадает с текущим значением для установленного ранее SQL Server. На компьютерах, работающих под управлением Windows 2000 или Windows NT 4.0, настройки параметров аутентификации в SP3 по умолчанию совпадают с настройками аутентификации NT. Опрометчивый администратор может принять эту настройку для сервера, который ранее был настроен на смешанный режим безопасности, отключив тем самым приложения и пользователей, чье соединение с SQL Server требовало смешанного режима безопасности. Восстановление смешанного режима безопасности SQL Server выполняется на закладке Security в диалоговом окне Server Properties, но выяснение причин возникшей ситуации может доставить беспокойство пользователю, не прочитавшему файл Readme. Все-таки он не зря так называется.