Home
  •  

Accesso non riuscito: account bloccato

Microsoft.SQLServer.2008.Login_failed__Account_locked_out_5_Rule (Rule)

Knowledge Base article:

Riepilogo

Un utente ha tentato di accedere alla rete con un account che è stato bloccato. Il registro di sicurezza di Windows indica il nome utente nell'evento MSSQLSERVER con ID 18486.

Cause

La convalida dell'utente non è riuscita perché l'account era bloccato. Un account può essere bloccato da un amministratore o tramite programma quando i criteri vengono violati. Ad esempio, se un utente tenta di accedere alla rete per varie volte consecutive, Windows può bloccare automaticamente l'account in modo che l'utente non possa effettuare l'accesso. Ciò serve a impedire che vengano sferrati attacchi di forza bruta.

Soluzioni

Contattare l'utente responsabile dell'account bloccato. Se l'utente sta tentando di accedere alla rete in modo legittimo, contattare un amministratore della sicurezza per sbloccare l'account.

Se l'utente non ha tentato l'accesso alla rete durante il periodo di tempo specificato nel registro di sicurezza di Windows, valutare questa situazione come un possibile attacco alla sicurezza.

Element properties:

TargetMicrosoft.SQLServer.2008.DBEngine
CategoryEventCollection
EnabledTrue
Event_ID18486
Event Source$Target/Property[Type="SQL!Microsoft.SQLServer.DBEngine"]/ServiceName$
Alert GenerateTrue
Alert SeverityWarning
Alert PriorityNormal
RemotableTrue
Alert Message
Accesso non riuscito: account bloccato
{0}
Event LogApplication
CommentMom2008ID='{51F708FC-3FCF-4C1A-9847-E00B99AADB4A}';MOM2008GroupID={467ECC75-C5DA-42BD-955C-A73BBB51AF74}

Member Modules:

ID Module Type TypeId RunAs 
_F6DA1507_12AF_11D3_AB21_00A0C98620CE_ DataSource Microsoft.Windows.EventProvider Microsoft.SQLServer.SQLDefaultAccount
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.SQLServer.2008.Login_failed__Account_locked_out_5_Rule" Target="SQL2008Core!Microsoft.SQLServer.2008.DBEngine" Enabled="true" ConfirmDelivery="true" Remotable="true" Comment="Mom2008ID='{51F708FC-3FCF-4C1A-9847-E00B99AADB4A}';MOM2008GroupID={467ECC75-C5DA-42BD-955C-A73BBB51AF74}">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="_F6DA1507_12AF_11D3_AB21_00A0C98620CE_" Comment="{F6DA1507-12AF-11D3-AB21-00A0C98620CE}" TypeID="Windows!Microsoft.Windows.EventProvider" RunAs="SQL!Microsoft.SQLServer.SQLDefaultAccount">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>$Target/Property[Type="SQL!Microsoft.SQLServer.DBEngine"]/ServiceName$</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>18486</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.SQLServer.2008.Login_failed__Account_locked_out_5_Rule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>