今天早上我注意到我们的 sa sql server 帐户被锁定,然后以某种方式解锁。
9/27/2019 5:28:26 AM - 用户“sa”登录失败。原因:密码与提供的登录名不匹配。[客户端:本地机器]
...
9/27/2019 5:28:47 AM - 用户“sa”登录失败,因为该帐户当前被锁定。系统管理员可以解锁。[客户:xx]
...
我用xx替换了客户端IP以便在这里发帖。然后在美国东部标准时间上午 5:45,该帐户以某种方式被解锁并且错误停止了。
在帐户被锁定期间,我们也很少收到这些消息
客户端无法重用 SPID 413 的会话,该会话已为连接池重置。失败 ID 为 1。此错误可能是由较早的操作失败引起的。在此错误消息之前立即检查错误日志以了解失败的操作。
特定于应用程序的权限设置不会向用户域\用户 SID 授予具有 CLSID {FDC3723D-1588-4BA3-92D4-42C430735D7D} 和 APPID {83B33982-693D-4824-B42E-7196AE61BB05} 的 COM 服务器应用程序的本地激活权限(S-1-5-21-1482476501-1715567821-725345543-24374) 来自地址LocalHost (Using LRPC) 在应用程序容器中运行的不可用SID (Unavailable)。可以使用组件服务管理工具修改此安全权限。
看起来有人在服务器上并试图以 SA 身份登录。我们进行了内部检查,每个人都说他们不是,目前我们有一位顾问,他有自己的 sql server id,我们问了他,他说他在这段时间内没有尝试以 SA 身份登录。看起来他在发生这种情况时已登录,因为他的用户名显示在有关“应用程序特定权限”的事件日志消息中。顾问没有 SA 凭据。
无论如何我可以检查谁试图以 SA 身份登录以及帐户最终如何解锁?如果再次发生这种情况,我可以为将来设置任何审计吗?这是我们第一次看到这种情况。
感谢 Ross 和 James 在评论中的投入。我发现我们的 sa 帐户已启用强制密码策略,我们的本地安全策略将在 15 分钟后解锁一个帐户,这样就回答了它是如何解锁的。关于未来,我认为登录失败事件类的服务器审核将帮助我们在这种情况再次发生时捕获更多信息。在内部,我们的目标是不再使用 sa 并重命名/禁用它。