Home
  •  

MSSQL 2016: error de inicio de sesión: cuenta bloqueada

Microsoft.SQLServer.2016.Login_failed__Account_locked_out_5_Rule (Rule)

Un usuario intentó conectarse a la red con una cuenta que se ha bloqueado. El registro de seguridad de Windows identificará el nombre de usuario del id. de evento 18486 de MSSQLSERVER.

Knowledge Base article:

Resumen

Un usuario intentó conectarse a la red con una cuenta que se ha bloqueado. El registro de seguridad de Windows identificará el nombre de usuario del id. de evento 18486 de MSSQLSERVER.

Causas

Error de validación de usuario porque la cuenta estaba bloqueada. La cuenta la puede bloquear un administrador o bloquearse de forma programada cuando se infringen las directivas. Por ejemplo, si un usuario intenta conectarse a la red varias veces consecutivas, Windows puede bloquear automáticamente la cuenta para que este usuario no se pueda conectar. Esto está diseñado para evitar ataques por fuerza bruta.

Soluciones

Póngase en contacto con el usuario responsable de la cuenta bloqueada. Si los intentos de conexión a la red son legítimos, póngase en contacto con un administrador de seguridad para desbloquear la cuenta.

Si el usuario no ha intentado iniciar sesión durante el período de tiempo especificado en el registro de seguridad de Windows, evalúe esta situación como un posible ataque de seguridad.

Parámetros invalidables

Nombre

Descripción

Valor predeterminado

Habilitado

Habilita o deshabilita el flujo de trabajo.

Prioridad

Define la prioridad de la alerta.

1

Gravedad

Define la gravedad de la alerta.

1

Element properties:

TargetMicrosoft.SQLServer.2016.DBEngine
CategoryEventCollection
EnabledTrue
Event_ID18486
Event Source$Target/Property[Type="SQL2016Core!Microsoft.SQLServer.2016.DBEngine"]/ServiceName$
Alert GenerateTrue
Alert SeverityWarning
Alert PriorityNormal
RemotableTrue
Alert Message
MSSQL 2016: error de inicio de sesión: cuenta bloqueada
{0}
Event LogApplication
CommentMom2016ID='{51F708FC-3FCF-4C1A-9847-E00B99AADB4A}';MOM2016GroupID={467ECC75-C5DA-42BD-955C-A73BBB51AF74}

Member Modules:

ID Module Type TypeId RunAs 
_F6DA1507_12AF_11D3_AB21_00A0C98620CE_ DataSource Microsoft.Windows.EventProvider Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.SQLServer.2016.Login_failed__Account_locked_out_5_Rule" Target="SQL2016Core!Microsoft.SQLServer.2016.DBEngine" Enabled="true" ConfirmDelivery="true" Remotable="true" Comment="Mom2016ID='{51F708FC-3FCF-4C1A-9847-E00B99AADB4A}';MOM2016GroupID={467ECC75-C5DA-42BD-955C-A73BBB51AF74}">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="_F6DA1507_12AF_11D3_AB21_00A0C98620CE_" Comment="{F6DA1507-12AF-11D3-AB21-00A0C98620CE}" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>$Target/Property[Type="SQL2016Core!Microsoft.SQLServer.2016.DBEngine"]/ServiceName$</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery>EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value>18486</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.SQLServer.2016.Login_failed__Account_locked_out_5_Rule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>Event ID: $Data/EventDisplayNumber$. $Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>