locked
Login failed for user 'sa'. Reason: The account is disabled. Error: 18470, Severity: 14, State: 1 RRS feed

  • Pergunta

  • Pessoal, tem um tempo que tento solucionar o alerta de erro mencionado no título com código de erro seguinte "Error: 18470, Severity: 14, State: 1.". A mensagem passou a surgi após desabilitar o login SA como medida de segurança do ambiente. É procedimento que executamos com frequência logo na instalação dos binários do SQL Server. Busquei rastrear pelo profiler se existia algum aplicativo forçando autenticação pelo login e encontrei o retorno a seguir:

     Ainda sim não ficou claro pra mim, pois não temos nenhum aplicativo sendo apontado para o login ainda mais se tratando de PHP 5 desconhecido. Reparei também que a tentativa está saindo da própria instância local.

    Creio que a medida não seja de habilitar o login SA para solucionar o alerta, pois estou seguindo recomendações de segurança desabilitando o mesmo.

    A principio achei que pudesse ser dois linkservers configurados no ambiente que não usávamos a algum tempo, mas excluir em ambos os servidores e os alertas permanecem.

    Agradeço ajuda. Abraços!



    quarta-feira, 27 de dezembro de 2017 22:18

Respostas

  • Jerfeson,

    Vamos lá, vou tentar ajudar:

    1 - Qual é a versão do SQL Server que você esta utilizando?

    2 - Se estiver trabalhando com versão acima da 2012, vamos tentar utilizar uma nova ferramenta da Microsoft para tentar ajudar a entender sua possível vulnerabilidade, estou me referindo ao Vulnerability Assesment adicionado ao SSMS 17.4, utilize este link para conhecer e fazer o download: https://blogs.technet.microsoft.com/dataplatforminsider/2017/12/11/whats-new-in-ssms-17-4-sql-vulnerability-assessment/

    3 - Faça uma análise e nos apresente o relatório.

    Agora, aproveitando, você realmente desabilitou o SA, ótimo essa é uma medida de segurança que deve ser feita, por acaso você tem alguma outra conta com perfil de administrador?

    Caso tenha, faça um teste habilite novamente esta conta SA e monitore o que é retornado no SQL Server Profiler.


    Pedro Antonio Galvao Junior [MVP | MCC | MSTC | MIE | Microsoft Evangelist | Microsoft Partner | Engenheiro de Softwares | Especialista em Banco de Dados | Professor Universitário | @JuniorGalvaoMVP | http://pedrogalvaojunior.wordpress.com]

    sexta-feira, 29 de dezembro de 2017 19:20
    Moderador
  • Olá Rafael, é o login SA mesmo. O username do mesmo está renomeado com nome SA e complemento do nome da empresa. Apenas busquei omiti para preservar a identidade privado do ambiente. É o único ambiente que temos que está apresentando esse erro. Sempre renomeamos o username do login SA e desabilitamos por medidas de segurança como dito antes no inicio da thread.   

    O que fico a me perguntar é, será que não existe uma conexão secundária tentando acessar com usuário SA? Creio que não, pois o alerta mostrado apontado para o IP da instância local que o login está desabilitado "Login failed for user 'sa'. Reason: The account is disabled. [CLIENT: 10.10.1.77]".

    Você pode tentar rastrear quem é essa app olhando pelo HostName.. já vem o nome/IP da máquina que está tentando fazer o login com o usuário sa. O Hostname/IP já sabemos pelo citado acima.

    Certo, e qual a justificava para o acesso a cada 20 minutos pontualmente e posteriormente 10 minutos pontualmente?

    Por que em algum lugar está existindo isso, é o que o profile mostra.

    E o erro é exatamente isso... tentando acessar com o usuário desabilitado.

    Minha possibilidades estão se esgotando, por que estou vendo uma tentativa de acesso.

    Tem que existir em algum lugar essa conexão!

    Você consegui ver alguma coisa no LOG do Windows?

    Isso pode ajudar também.


    Se a resposta for relevante ou tenha resolvido seu problema, marque como útil/resposta!

    Rafael Almeida
    Microsoft Developer .NET
    Microsoft Certified Professional
    Development Leader at JAMSOFT Informática
    Email: ralms@ralms.net
    Blog -  GitHub  -  LinkedIn -  Twitter

    sexta-feira, 29 de dezembro de 2017 15:01
  • Olá pessoal, consegui descobrir e resolver o problema do alerta. Tudo estava para um app de SMS que estava rodando em um outro ambiente que no passado esse tinha sido configurado para abrir conexão usando o login SA. Quando desativamos o login o alerta começou a surgi. Assimilei as dicas de Rafael e Galvão, no qual me atentou em habilitar o SA e monitorar para saber quem estava tentando logar. Então definimos um login especifico para esse app usando o mínimo de permissões possíveis para apenas ler informações de alguns objetos no banco.

    Obrigado à todos mais vez pela atenção no apoio da solução do problema.

    quarta-feira, 3 de janeiro de 2018 16:21

Todas as Respostas

  • Olá Jerfeson S. Barbosa

    Você citou que desabilitou o SA por medida de segurança? gostaria de entender sobre isso.

    O tipo de autenticação do SA é um dos mais seguros dependendo da combinação de senha utilizada.

    Mais diante mão gostaria de saber:

    Você habilitou a autenticação WINDOWS no SQL Server?

    O usuário de autenticação, tem permissão administrativa no SQL SERVER?

    Você está tentando conectar autenticação integrada do Windows?

    A autenticação do SQL Server está habilitada o modo Mixed (Windows + SQL Server )

    Desculpa pelas perguntas mais são importantes, para entender a causa.


    Se a resposta for relevante ou tenha resolvido seu problema, marque como útil/resposta!

    Rafael Almeida
    Microsoft Developer .NET
    Microsoft Certified Professional
    Development Leader at JAMSOFT Informática
    Email: ralms@ralms.net
    Blog -  GitHub  -  LinkedIn -  Twitter

    quarta-feira, 27 de dezembro de 2017 22:44
  • Olá Rafael,

    Você citou que desabilitou o SA por medida de segurança? gostaria de entender sobre isso.

    Sim. Sempre mantenho desabilitado alterando username e definido além de tudo um password forte de alto nível.

    Venho seguindo algumas recomendações de boas práticas de segurança da fonte abaixo:

    Lista de verificação: Configuração de segurança do Mecanismo de Banco de Dados

    O tipo de autenticação do SA é um dos mais seguros dependendo da combinação de senha utilizada.

    Altero o username e defino uma senha forte, mas na prática esse login não é permitido ser usar em nenhuma aplicativo. Diante disso sempre mantemos desativado para evitar tentativa através do mesmo. 

    Mais diante mão gostaria de saber:

    Você habilitou a autenticação WINDOWS no SQL Server? Mista.

    O usuário de autenticação, tem permissão administrativa no SQL SERVER? Não entendi. Tenho configurado no ambiente um único login com permissões de role sysadmin, no qual é uma conta de domínio.

    Você está tentando conectar autenticação integrada do Windows? Minha conta é de domínio e faz parte da role sysadmin. Tenho liberdade de acesso total.

    A autenticação do SQL Server está habilitada o modo Mixed (Windows + SQL Server )? Sim.

    A mensagem começou a surgi logo após desabilitar o SA como citei. 


    quinta-feira, 28 de dezembro de 2017 01:25
  • Obrigado por responder.

    Olhando as informações que foram fornecidas eu particularmente não passei por esse problema ainda, mais estou enviando um e-mail para um especialista em SQL Server.

    Todas possibilidades que eu tinha em mente estão ativadas, como o Mixed e as Permissões.

    Caso eu não receba um retorno em tempo habil e você resolva-o antes, compartilhe aqui!



    Se a resposta for relevante ou tenha resolvido seu problema, marque como útil/resposta!

    Rafael Almeida
    Microsoft Developer .NET
    Microsoft Certified Professional
    Development Leader at JAMSOFT Informática
    Email: ralms@ralms.net
    Blog -  GitHub  -  LinkedIn -  Twitter

    quinta-feira, 28 de dezembro de 2017 11:57
  • Certamente também esgotei inicialmente as possibilidades, mas continuo tentando identificar o que pode está acontecendo. Estou tentando simular algo parecido.

    As alternativas seria bem obvias, no qual geraria outros problemas caso a autenticação fosse somente WINDOWS. Temos logins e contas configurado com autenticação em ambas as situações, devendo ser configurado como mixed.

    quinta-feira, 28 de dezembro de 2017 19:41
  • Olá Jerfeson S. Barbosa

    Enviei um e-mail para um colega MVP e especialista nesse setor, mais a resposta não foi como eu esperava pra lhe ajudar.

    Ele informou que existe algum serviço rodando que depende do login, ou o usuário criado está atrelado ao sa.

    Bom caso não resolva, assim que sobrar um tempo, irei montar um ambiente pra tentar descobrir a causa.


    Se a resposta for relevante ou tenha resolvido seu problema, marque como útil/resposta!

    Rafael Almeida
    Microsoft Developer .NET
    Microsoft Certified Professional
    Development Leader at JAMSOFT Informática
    Email: ralms@ralms.net
    Blog -  GitHub  -  LinkedIn -  Twitter

    quinta-feira, 28 de dezembro de 2017 22:32
  • Jeferson,

    Você tem alguma aplicação tentando usar a conta de SA. Você ter desabilitado só evidenciou isso.

    Aqui temos um painel de monitoramento feito em PHP que também loga no profiler como Application_name o  "PHP 5".
    Você pode tentar rastrear quem é essa app olhando pelo HostName.. já vem o nome/IP da máquina que está tentando fazer o login com o usuário sa.


    Mariana Del Nero /* Se a resposta foi útil, não esqueça de marcá-la */

    sexta-feira, 29 de dezembro de 2017 13:43
  • Jeferson,

    Você tem alguma aplicação tentando usar a conta de SA. Você ter desabilitado só evidenciou isso.

    Aqui temos um painel de monitoramento feito em PHP que também loga no profiler como Application_name o  "PHP 5".
    Você pode tentar rastrear quem é essa app olhando pelo HostName.. já vem o nome/IP da máquina que está tentando fazer o login com o usuário sa.


    Mariana Del Nero /* Se a resposta foi útil, não esqueça de marcá-la */

    Olá Mariana tudo bem?!

    Eu tinha pensado nessa linha de raciocínio que você teve, porem na imagem que ele postou do profiler, o usuário que está tentando acessar é outro, está borrado o nome do usuário, mais podemos perceber que não é o SA, e isso me deixou um pouco confuso.

    Ontem a noite criei um ambiente em uma VM para simular isso e eu tive acesso normal usando SQL Server 2016 e desabilitando o SA.

    O que fico a me perguntar é, será que não existe uma conexão secundária tentando acessar com usuário SA?


    Se a resposta for relevante ou tenha resolvido seu problema, marque como útil/resposta!

    Rafael Almeida
    Microsoft Developer .NET
    Microsoft Certified Professional
    Development Leader at JAMSOFT Informática
    Email: ralms@ralms.net
    Blog -  GitHub  -  LinkedIn -  Twitter

    sexta-feira, 29 de dezembro de 2017 14:00
  • Jeferson,

    Você tem alguma aplicação tentando usar a conta de SA. Você ter desabilitado só evidenciou isso.

    Aqui temos um painel de monitoramento feito em PHP que também loga no profiler como Application_name o  "PHP 5".
    Você pode tentar rastrear quem é essa app olhando pelo HostName.. já vem o nome/IP da máquina que está tentando fazer o login com o usuário sa.


    Mariana Del Nero /* Se a resposta foi útil, não esqueça de marcá-la */

    Olá Mariana tudo bem?!

    Eu tinha pensado nessa linha de raciocínio que você teve, porem na imagem que ele postou do profiler, o usuário que está tentando acessar é outro, está borrado o nome do usuário, mais podemos perceber que não é o SA, e isso me deixou um pouco confuso.

    Ontem a noite criei um ambiente em uma VM para simular isso e eu tive acesso normal usando SQL Server 2016 e desabilitando o SA.

    O que fico a me perguntar é, será que não existe uma conexão secundária tentando acessar com usuário SA?


    Se a resposta for relevante ou tenha resolvido seu problema, marque como útil/resposta!

    Rafael Almeida
    Microsoft Developer .NET
    Microsoft Certified Professional
    Development Leader at JAMSOFT Informática
    Email: ralms@ralms.net
    Blog -  GitHub  -  LinkedIn -  Twitter

    Realmente Rafael. Eu não tinha notado que o nome está borrado.
    E agora que eu li que está vindo da instância local.

    De qualquer maneira existe alguma app tentando usar o sa. Agora é caçar quem é!

    Mariana Del Nero /* Se a resposta foi útil, não esqueça de marcá-la */

    sexta-feira, 29 de dezembro de 2017 14:04
  • Mais uma coisa bastante interessante é:

    Tentativa acesso:

    1 - 17:10 hr

    2 - 17:30 hr

    3 - 17:40 hr

    Segundo acesso:

    1 - 18:10 hr

    2 - 18:30 hr

    3 - 18:40 hr

    Ou seja, parece que existe um serviço tentando fazer autenticação em um tempo de 20 Minutos e Depois 10 Minutos.

    Isso não é timeout de login, isso realmente pode ser uma conexão segundaria ou algum serviço do sistema que precisa do acesso do usuário SA!



    Se a resposta for relevante ou tenha resolvido seu problema, marque como útil/resposta!

    Rafael Almeida
    Microsoft Developer .NET
    Microsoft Certified Professional
    Development Leader at JAMSOFT Informática
    Email: ralms@ralms.net
    Blog -  GitHub  -  LinkedIn -  Twitter

    sexta-feira, 29 de dezembro de 2017 14:05
  • Olá Rafael, é o login SA mesmo. O username do mesmo está renomeado com nome SA e complemento do nome da empresa. Apenas busquei omiti para preservar a identidade privado do ambiente. É o único ambiente que temos que está apresentando esse erro. Sempre renomeamos o username do login SA e desabilitamos por medidas de segurança como dito antes no inicio da thread.   

    O que fico a me perguntar é, será que não existe uma conexão secundária tentando acessar com usuário SA? Creio que não, pois o alerta mostrado aponta para o IP da instância local que o login está desabilitado "Login failed for user 'sa'. Reason: The account is disabled. [CLIENT: 10.10.1.77]". Resumindo é uma tentiva de autenticação local.

    Você pode tentar rastrear quem é essa app olhando pelo HostName.. já vem o nome/IP da máquina que está tentando fazer o login com o usuário sa. O Hostname/IP já sabemos pelo citado acima.

    É bom ficarmos atento ao código do erro registrado pelo log do SQL Server, pois mesmo desabilitado o login SA e realizando uma tentativa de autenticação o código pode variar entre 18456 ou 18470. Em alguns casos informar que o login está desabilitado em outros apenas que falhou a tentativa de autenticação. Achou um pouco difícil conseguirmos simular algo parecido para pra o código 18470.


    sexta-feira, 29 de dezembro de 2017 14:46
  • Olá Rafael, é o login SA mesmo. O username do mesmo está renomeado com nome SA e complemento do nome da empresa. Apenas busquei omiti para preservar a identidade privado do ambiente. É o único ambiente que temos que está apresentando esse erro. Sempre renomeamos o username do login SA e desabilitamos por medidas de segurança como dito antes no inicio da thread.   

    O que fico a me perguntar é, será que não existe uma conexão secundária tentando acessar com usuário SA? Creio que não, pois o alerta mostrado apontado para o IP da instância local que o login está desabilitado "Login failed for user 'sa'. Reason: The account is disabled. [CLIENT: 10.10.1.77]".

    Você pode tentar rastrear quem é essa app olhando pelo HostName.. já vem o nome/IP da máquina que está tentando fazer o login com o usuário sa. O Hostname/IP já sabemos pelo citado acima.

    Certo, e qual a justificava para o acesso a cada 20 minutos pontualmente e posteriormente 10 minutos pontualmente?

    Por que em algum lugar está existindo isso, é o que o profile mostra.

    E o erro é exatamente isso... tentando acessar com o usuário desabilitado.

    Minha possibilidades estão se esgotando, por que estou vendo uma tentativa de acesso.

    Tem que existir em algum lugar essa conexão!

    Você consegui ver alguma coisa no LOG do Windows?

    Isso pode ajudar também.


    Se a resposta for relevante ou tenha resolvido seu problema, marque como útil/resposta!

    Rafael Almeida
    Microsoft Developer .NET
    Microsoft Certified Professional
    Development Leader at JAMSOFT Informática
    Email: ralms@ralms.net
    Blog -  GitHub  -  LinkedIn -  Twitter

    sexta-feira, 29 de dezembro de 2017 15:01
  • Jerfeson,

    Vamos lá, vou tentar ajudar:

    1 - Qual é a versão do SQL Server que você esta utilizando?

    2 - Se estiver trabalhando com versão acima da 2012, vamos tentar utilizar uma nova ferramenta da Microsoft para tentar ajudar a entender sua possível vulnerabilidade, estou me referindo ao Vulnerability Assesment adicionado ao SSMS 17.4, utilize este link para conhecer e fazer o download: https://blogs.technet.microsoft.com/dataplatforminsider/2017/12/11/whats-new-in-ssms-17-4-sql-vulnerability-assessment/

    3 - Faça uma análise e nos apresente o relatório.

    Agora, aproveitando, você realmente desabilitou o SA, ótimo essa é uma medida de segurança que deve ser feita, por acaso você tem alguma outra conta com perfil de administrador?

    Caso tenha, faça um teste habilite novamente esta conta SA e monitore o que é retornado no SQL Server Profiler.


    Pedro Antonio Galvao Junior [MVP | MCC | MSTC | MIE | Microsoft Evangelist | Microsoft Partner | Engenheiro de Softwares | Especialista em Banco de Dados | Professor Universitário | @JuniorGalvaoMVP | http://pedrogalvaojunior.wordpress.com]

    sexta-feira, 29 de dezembro de 2017 19:20
    Moderador
  • Grande Rafael, realmente estou trabalhando nisso e analisando com dedicação pra saber o que seria essa tentativa. Percebi também isso que comentou sobre o tempo de tentativa de autenticação. Por isso estou atento para verificar de que app vem. 

    Você consegui ver alguma coisa no LOG do Windows? Analisei e não me trouxe nada de substancial que pudesse responder sobre o alerta de erro.

    Nobre Galvão.

    Qual é a versão do SQL Server que você esta utilizando?  Microsoft SQL Server 2008 R2 (SP3) - 10.50.6220.0 (X64) .

    Agora, aproveitando, você realmente desabilitou o SA, ótimo essa é uma medida de segurança que deve ser feita, por acaso você tem alguma outra conta com perfil de administrador? Tem a nossa conta que é de domínio e que faz parte da role sysadmin.



    terça-feira, 2 de janeiro de 2018 14:24
  • Olá pessoal, consegui descobrir e resolver o problema do alerta. Tudo estava para um app de SMS que estava rodando em um outro ambiente que no passado esse tinha sido configurado para abrir conexão usando o login SA. Quando desativamos o login o alerta começou a surgi. Assimilei as dicas de Rafael e Galvão, no qual me atentou em habilitar o SA e monitorar para saber quem estava tentando logar. Então definimos um login especifico para esse app usando o mínimo de permissões possíveis para apenas ler informações de alguns objetos no banco.

    Obrigado à todos mais vez pela atenção no apoio da solução do problema.

    quarta-feira, 3 de janeiro de 2018 16:21
  • Olá pessoal, consegui descobrir e resolver o problema do alerta. Tudo estava para um app de SMS que estava rodando em um outro ambiente que no passado esse tinha sido configurado para abrir conexão usando o login SA. Quando desativamos o login o alerta começou a surgi. Assimilei as dicas de Rafael e Galvão, no qual me atentou em habilitar o SA e monitorar para saber quem estava tentando logar. Então definimos um login especifico para esse app usando o mínimo de permissões possíveis para apenas ler informações de alguns objetos no banco.

    Obrigado à todos mais vez pela atenção no apoio da solução do problema.

    Parabéns Jeferson, e obrigado por nos reportar, assim soubemos o motivo maior.

    Abraços


    Se a resposta for relevante ou tenha resolvido seu problema, marque como útil/resposta!

    Rafael Almeida
    Microsoft Developer .NET
    Microsoft Certified Professional
    Development Leader at JAMSOFT Informática
    Email: ralms@ralms.net
    Blog -  GitHub  -  LinkedIn -  Twitter

    sábado, 6 de janeiro de 2018 21:00
  • Obrigado digo eu a comunidade pelo apoio e auxílio na solução dos problemas/dificuldades. 
    terça-feira, 6 de fevereiro de 2018 12:44