Идентифицирајте извор закључавања корисничких налога у Ацтиве Дирецториу

У овом чланку описујемо како пратити догађаје закључавања кориснички рачуни на контролерима домена Ацтиве Дирецтори, од чега одређују компјутер и од који одређени програм Изводи се трајно закључавање. Размислите о коришћењу скрипта Виндовс Сецурити Лог и ПоверСхелл да бисте пронашли извор блокирања.

Политике безбедности налога у већини организација захтевају да се кориснички налог у домени Ацтиве Дирецтори закључа ако корисник погрешно постави лозинку н пута. Обично контролер домена блокира рачун након неколико покушаја да унесе погрешну лозинку у трајању од неколико минута (5-30), током којих корисник не сме да уђе у систем. Одређивањем времена одређеног сигурносним политикама, налог домене се аутоматски откључава. Привремено закључавање рачуна смањује ризик од проналажења лозинке (једноставном грубом силом) корисничких рачуна АД.

У случају да је кориснички налог у домену блокиран, појављује се упозорење када покушате да се пријавите у Виндовс:

Кориснички налог је закључан и не може се користити за пријаву. Референтни налог је тренутно закључан и можда није могуће пријавити на ... .

Садржај:

  • Правила закључавања домена
  • Потражите рачунар са кога је рачун закључан
  • Откривамо програм, разлог блокирања рачуна у АД-у

Правила закључавања домена

Правила за блокирање налога и лозинке обично се постављају одмах за цео домен Подразумевана политика домена. Политике које нас занимају су у одељку Конфигурација рачунара -> Подешавања оперативног система Виндовс -> Подешавања сигурности -> Политика налога -> Политика закључавања рачуна (Конфигурација Виндовс -> Сигурносна подешавања -> Политике налога -> Правила закључавања рачуна). Ово су следећа правила:

  • Праг за блокирање рачуна  (Лоцк Тхресхолд) - након колико неуспелих покушаја лозинке, рачун мора бити закључан
  • Рачун закључавање трајање (Трајање закључавања рачуна) - колико дуго ће се рачун закључати (након тог времена закључавање ће се аутоматски ослободити)
  • Ресет рачун закључавање бројач после (Време док се бројач закључавања не ресетира) - након чега ће се бројач неуспелих покушаја ауторизације ресетовати

Савет. Можете ручно откључати свој рачун без чекања на аутоматско откључавање помоћу АДУЦ конзоле. Да бисте то учинили, у својствима корисничког налога на картици Налог ставите потврдни оквир Откључај налог Овај налог је тренутно закључан у овом контролеру домена Ацтиве Дирецтори.

Прилично корисне информације о времену блокирања, подешавању лозинке, броју покушаја постављања лозинке итд. Могу се добити у својствима налога на АДСИЕдит конзоли или на додатној картици Додатне информације о рачуну у корисничким својствима (лакше).

Ситуације када је корисник заборавио лозинку и сам је проузроковао блокирање његовог налога дешава се прилично често. Али у неким случајевима се блокирање рачуна одвија неочекивано, без икаквог разлога. И.е. користи се "куне се" да није учинио ништа посебно, никада погрешно није унео лозинку, али из неког разлога му је рачун блокиран. Администратор на захтев корисника може ручно отпустити браву, али након неког времена ситуација се понавља.

Да би решио проблем корисника, администратор мора да утврди који је рачунар и који програм кориснички налог у Ацтиве Дирецториу блокиран.

Потражите рачунар са кога је рачун закључан

Пре свега, администратор мора да утврди који рачунар / сервер покушава да унесе погрешне лозинке и налог је додатно блокиран.

У случају да контролер домене најближи кориснику утврди да се корисник покушава пријавити погрешном лозинком, он преусмерава захтев за аутентификацију на ДЦ са ФСМО улогом ПДЦ емулатор (одговоран је за обраду закључавања рачуна). Ако провера идентитета није извршена и на ПДЦ-у, он реагује на први ДЦ да аутентификација није могућа.

У исто време догађаји се бележе у дневнику оба контролера домена 4740 са ДНС именом (ИП адреса) рачунара са којег је стигао почетни захтев за ауторизацију корисника. Логично је да је пре свега потребно проверити сигурносне записе на ПДЦ контролеру. ПДЦ можете пронаћи у домену као што је овај:

(Гет-АдДомаин) .ПДЦЕмулатор

Догађај закључавања домена може се наћи у дневнику Сигурност на контролору домена. Филтрирање сигурносног дневника према ИД-у догађаја 4740. Треба приказати листу недавних догађаја блокирања налога на контролеру домена. Почевши од самог врха, прођите кроз све догађаје и пронађите догађај који указује да је рачун жељеног корисника (назив налога наведен у ретку Рачун Име) закључано (Кориснички налог је закључан).

Напомена. У продуктивном окружењу у великој АД инфраструктури, велики број догађаја који се постепено преписују бележи се у безбедносном дневнику. Стога је препоручљиво повећати максималну величину дневника на ДЦ-у и почети тражити извор блокаде што је раније могуће..

Отворите овај догађај. У пољу се наводи име рачунара (или сервера) са којег је закључана брава Позивач Компјутер Име. У овом случају, име рачунара је ТС01.

Следећу ПоверСхелл скрипту можете да пронађете извор закључавања одређеног корисника на ПДЦ-у. Ова скрипта ће вратити датум закључавања и рачунар са којег се догодио:

$ Усернаме = 'корисничко име1'
$ Пдце = (Гет-АдДомаин) .ПДЦЕмулатор
$ ГвеПарамс = @
'Име рачунара' = $ Пдце
'ЛогНаме' = 'Сигурност'
'ФилтерКСПатх' = "* [Систем [ЕвентИД = 4740] и ЕвентДата [Подаци [@ Име = 'ТаргетУсерНаме'] = '$ корисничко име']]"

$ Евентс = Гет-ВинЕвент @ГвеПарамс
$ Догађаји | фореацх $ _. Пропертиес [1]. вредност + "+ $ _. ТимеЦреате

Слично томе, можете тражити све контролере домена у Ацтиве Дирецтори-у из ПоверСхелл-а:

$ Усернаме = 'корисничко име1'
Гет-АДДомаинЦонтроллер -фи * | одаберите -екп име хоста | %
$ ГвеПарамс = @
'Име рачунара' = $ _
'ЛогНаме' = 'Сигурност'
'ФилтерКСПатх' = "* [Систем [ЕвентИД = 4740] и ЕвентДата [Подаци [@ Име = 'ТаргетУсерНаме'] = '$ корисничко име']]"

$ Евентс = Гет-ВинЕвент @ГвеПарамс
$ Догађаји | фореацх $ _. Цомпутер + "" + $ _. Пропертиес [1]. вредност + "+ $ _. ТимеЦреате

Напомена. Ако постоји неколико контролера домена, мораћете да претражите блокаду догађаја у записницима на сваком од њих, а можете организовати и претплату на догађаје на другим ДЦ-има. Овај тежак задатак може се олакшати помоћу услужног програма Мицрософт Лоцкоут и алата за управљање (можете га преузети овде). Помоћу овог услужног програма можете одредити неколико контролера домена одједном, чије евиденције догађаја треба надгледати, број погрешних уноса лозинке за одређеног корисника (атрибути бадПвдЦоунт и ЛастБадПассвордАттемпт није реплицирано између контролера домена).

Откривамо програм, разлог блокирања рачуна у АД-у

Дакле, утврдили смо с којег рачунара или уређаја је рачун блокиран. Сада бих желео да разумем који програм или процес изводи неуспешне покушаје пријављивања и извор је блокирања.

Корисници се често пожале на блокирање свог налога у домену након планиране промене лозинке за налог на домену. Ово сугерише да се стара (нетачна) лозинка чува у одређеном програму, скрипти или услузи која се периодично покушава пријавити у домен са застарелом лозинком. Размотрите најчешћа места на којима би корисник могао користити своју стару лозинку:

  1. Монтирајте мрежни погон путем мреже (Мап Дриве)
  2. У операцијама Виндовс Сцхедулер Јобс
  3. За Виндовс услуге које су конфигурисане за покретање из налога домена
  4. Сачуване лозинке у управитељу лозинки на управљачкој плочи (Управитељ поверљивости)
  5. Прегледници
  6. Мобилни уређаји (на пример, користе се за приступ корпорацијској пошти)
  7. Програми са аутологином
  8. Непотпуне сесије корисника на другим рачунарима или терминалним серверима
  9. И други.
Савет. Постоји велики број помоћних програма (углавном комерцијалних) који администратору омогућавају да провјери удаљени уређај и открије извор закључавања рачуна. Као прилично популарно решење, примећујемо Нетвриков налог за закључавање рачуна..

Да бисте детаљније прегледали браве на пронађеној машини, морате да омогућите бројне локалне Виндовс ревизионе смернице. Да бисте то учинили, на локалном рачунару на којем желите да пратите извор закључавања отворите уређивач групних политика Гпедит.мсц и у одељку Израчунајте конфигурације -> Подешавања оперативног система Виндовс -> Подешавања сигурности -> Локална правила -> Политика ревизије омогући политике:

  • Праћење процеса ревизије: Успех, неуспех
  • Ревизија догађаја пријава: Успех, неуспех

Причекајте следеће закључавање налога и потражите у евиденцији Безбедности догађаје са ИД догађаја 4625. У нашем случају овај догађај изгледа овако:

Из описа догађаја је јасно да је извор закључавања рачуна процес мссдмн.еке (је компонента Схарепоинт-а). Остаје да обавестимо корисника да треба да ажурира своју лозинку на Схарепоинт веб порталу.

Након анализе, идентификације и кажњавања кривца, не заборавите да онемогућите акцију активираних политика групне ревизије.

У случају да још увек нисте могли да пронађете разлог за блокирање рачуна на одређеном рачунару како бисте избегли трајно блокирање налога, вреди покушати преименовати име корисничког налога у Ацтиве Дирецтори. То је обично најефикаснија метода заштите од наглих брава одређеног корисника..