最近2周一直被乙個問題困擾,有使用者頻繁被鎖定。但是無法找到使用者從**傳送的驗證資訊。
原因是為了加強安全監控,啟用了使用者賬戶鎖定的通知。這個鎖定通知是通過事件日誌結合計畫任務傳送的,具體如何操作可以參考之前的文章《監控賬戶登入》或者《windows 2012 r2 計畫任務傳送郵件》。
賬戶被鎖定的唯一原因就是頻繁的提供錯誤憑據做身份驗證。當錯誤次數超過組策略裡配置的限制次數後就會被鎖定一段時間。鎖定時間同樣也是在組策略裡配置的。這種鎖定策略可以有效的保護賬戶安全,避免暴力破解。
現在賬戶被頻繁鎖定,我們必須找到源頭,然後判斷是否存在攻擊。一旦使用者賬戶被盜取,之後會引發一系列的垃圾郵件,病毒傳播等問題。賬戶鎖定的事件id是4740,在pdc上會記錄。
這裡通常會記錄客戶端的計算機名,source workstation。但是這裡記錄的卻是workstation。一般不會有計算機會改成這個名字的。後來經過2天的查詢,也沒有找到這個名為 workstation的計算機。
進一步檢查安全日誌,會發現有4776的登入失敗的日誌。但是記錄的也只是workstation。4776,microsoft_authentication_package_v1_0 只能說明這是乙個ntlm的驗證行為。並不是kerberos驗證,否則會有4771的日誌,並且能顯示客戶端ip。0xc000006a表示使用者名稱正確,但是密碼錯誤。
在網上查了很多文章,都說要繼續查詢4625的日誌。但是域控上並沒有記錄到相關的日誌,其它登入錯誤基本都有,但是就是這個workstation沒有,並且有多個賬戶都在workstation上被鎖定。如果這是一台公司內的電腦,那麼它很可能中病毒了,並且在嘗試登入一些賬戶。
對於只記錄了計算機名,但是又不是域內客戶端的情況下問題就很棘手了。對於一些按規範命名的計算機來說還能查一下電腦發放記錄追查一下。但是對於乙個只有計算機名並且無記錄,不在域內的客戶端來說,無疑增加了它是一台中毒的計算機,或者是肉雞的概率。必須盡快找到並檢查。
接著,我又嘗試在pdc上抓包看一下是不是能獲取到客戶端的真實ip。wireshark可以直接使用ntlmssp這個過濾器來過濾。結果也沒有發現有ntlm的驗證資訊。
接下去,又考慮在pdc上啟用netlogon的debug日誌。方法如下:
nltest /dbflag:2080ffff 然後重啟netlogon服務。關閉debug日誌的方法也很簡單,執行nltest /dbflag:0x0後重啟netlogon服務就可以了。
日誌檔案位於windows目錄下debug資料夾中的netlogon.log。結果很快的就發現了有用資訊。
via後面就是我們的郵件伺服器。於是在登入郵件伺服器檢視。直接過濾4625的日誌。因為頻繁驗證失敗,所以很容易就找到登入資訊。並且這裡記錄了客戶端的**ip。
經過檢查,是一台mac os電腦,然後outlook配置了錯誤的使用者名稱和密碼,導致驗證失敗,賬戶被鎖定。據此為經驗,之後發現在workstation上鎖定的,首先檢查客戶端是否是mac os。如果是則進一步檢查outlook配置,極大的提高了排查問題的效率。
ad被鎖定的賬戶 AD賬號頻繁被鎖定原因
在公司的實際運維過程當中,有時會碰到某些 ad賬號被頻繁鎖定的情況。在網上找了很多資料,往往描述地不夠詳細。為了發揚網路人人為我,我為人人的精 神,現在把我所碰到的情況及解決方案寫出來,希望給碰到相關問題的人提供幫 助。ad 某乙個賬戶,每隔幾分鐘就會被鎖定,即使解鎖,即使禁用都沒有 效果。情況一 ...
AD賬戶頻繁被鎖定 開啟日誌審核策略
問題描述 ad賬戶頻繁被鎖定,系統中無法查到相關鎖定日誌記錄 處理過程 通過以下方法,驗證是否開啟了日誌記錄 在ad伺服器上以管理員身份執行cmd,輸入命令,netdom query fsmo,檢視pdc伺服器角色 登陸到pdc伺服器上,以管理員身份執行cmd,輸入命令 auditpol get c...
oracle 賬戶鎖定解除
今天進使用 oracle 發現系統中,system賬戶登入裡提示賬戶被鎖定 後來查了查資料,問題解決。以為為從cmd裡面複製的命令列 microsoft windows 版本 5.2.3790 c documents and settings administrator sqlplus nolog ...