So finden Sie die Ursache des gesperrten Benutzerkontos in der Windows AD-Domäne

Nach einem kürzlichen Vorfall mit Outlook habe ich mich gefragt, wie ich das folgende Problem am effizientesten lösen kann:

Angenommen, es handelt sich um eine recht typische kleine bis mittlere AD-Infrastruktur: mehrere Domänencontroller, mehrere interne Server und Windows-Clients, mehrere Dienste, die AD und LDAP für die Benutzerauthentifizierung innerhalb der DMZ verwenden (SMTP-Relay, VPN, Citrix usw.) und mehrere interne Alle Dienste, deren Authentifizierung auf AD basiert (Exchange, SQL Server, Datei- und Druckserver, Terminaldiensteserver). Sie haben vollen Zugriff auf alle Systeme, aber sie sind etwas zu zahlreich (die Clients werden gezählt), um sie einzeln zu überprüfen.

Nehmen wir nun an, dass aus einem unbekannten Grund alle paar Minuten ein (oder mehrere) Benutzerkonten aufgrund der Kennwortsperrungsrichtlinie gesperrt werden.

• Was wäre der beste Weg, um den Service / die Maschine zu finden, der / die dafür verantwortlich ist?
• Angenommen, die Infrastruktur ist rein, Standard-Windows ohne zusätzliches Verwaltungstool und es gibt nur wenige Änderungen gegenüber der Standard-Windows-Infrastruktur. Kann der Prozess zum Auffinden der Ursache für eine solche Sperrung beschleunigt oder verbessert werden?
• Was könnte getan werden, um die Ausfallsicherheit des Systems gegenüber einem solchen DOS für die Kontosperrung zu verbessern? Das Deaktivieren der Kontosperrung ist eine naheliegende Antwort. Dann haben Sie jedoch das Problem, dass Benutzer trotz der zunehmenden Komplexität leicht verwertbare Kennwörter verwenden können.

Hinzufügen von etwas, das ich in den gegebenen Antworten nicht sehe.

Was wäre der beste Weg, um den Service / die Maschine zu finden, der / die dafür verantwortlich ist?

Du kannst nicht einfach das Sicherheitsprotokoll auf der PDCe anzeigen, da die PDCe zwar die aktuellsten Informationen zu Kontosperrungen für die gesamte Domäne enthält, jedoch nicht die Informationen darüber, von welchem ​​Client (IP oder IP) Hostname) Die fehlgeschlagenen Anmeldeversuche stammten von der Annahme, dass die fehlgeschlagenen Anmeldeversuche auf einem anderen Domänencontroller neben der PDCe stattfanden. Die PDCe gibt an, dass "Konto xyz gesperrt wurde". Es wird jedoch nicht angegeben, von wo aus die fehlgeschlagenen Anmeldungen auf einem anderen Domänencontroller in der Domäne erfolgten. Nur der Domänencontroller, der die Anmeldung tatsächlich validiert hat, zeichnet den Anmeldefehler auf, einschließlich der Adresse des Clients. (Auch keine RODCs in diese Diskussion einbeziehen.)

Es gibt zwei gute Möglichkeiten, um herauszufinden, woher fehlgeschlagene Anmeldeversuche stammen, wenn Sie über mehrere Domänencontroller verfügen. Ereignisweiterleitung und die Kontosperrungstools von Microsoft .

Ich bevorzuge die Weiterleitung von Ereignissen an einen zentralen Ort. Leiten Sie fehlgeschlagene Anmeldeversuche von allen Domänencontrollern an einen zentralen Protokollierungsserver weiter. Dann haben Sie nur noch einen Ort, an dem Sie nach fehlgeschlagenen Anmeldungen in Ihrer gesamten Domain suchen können. Tatsächlich mag ich die Kontosperrungstools von Microsoft nicht wirklich, daher gibt es jetzt einen guten Weg.

Ereignisweiterleitung. Du wirst es lieben.

Angenommen, die Infrastruktur ist rein, Standard-Windows ohne zusätzliches Verwaltungstool und es gibt nur wenige Änderungen gegenüber der Standard-Windows-Infrastruktur. Kann der Prozess zum Auffinden der Ursache einer solchen Sperrung beschleunigt oder verbessert werden?

Siehe oben. Sie können dann Ihr Überwachungssystem wie SCOM oder Nagios oder was auch immer Sie verwenden, dieses einzelne Ereignisprotokoll kämmen und Ihr Handy mit Textnachrichten oder was auch immer in die Luft jagen lassen. Beschleunigter geht es nicht.

Was könnte getan werden, um die Ausfallsicherheit des Systems gegenüber einem solchen DOS für die Kontosperrung zu verbessern?

1. Benutzererziehung. Fordern Sie sie auf, die Einrichtung von Windows-Diensten für die Ausführung unter ihren Domänenbenutzerkonten zu beenden, sich nach Abschluss von RDP-Sitzungen abzumelden, das Löschen der zwischengespeicherten Kennwörter für Outlook aus dem Windows-Tresor für Anmeldeinformationen zu lernen usw.
2. Verwenden Sie verwaltete Dienstkonten, damit Benutzer die Kennwörter für diese Benutzerkonten nicht mehr verwalten müssen. Benutzer vermasseln alles. Wenn Sie einem Benutzer eine Auswahl geben, wird er oder sie immer die falsche Auswahl treffen. Geben Sie ihnen also keine Wahl.
3. Erzwingen von Zeitüberschreitungen für Remotesitzungen über ein Gruppenrichtlinienobjekt. Wenn ein Benutzer 6 Stunden lang in einer RDP-Sitzung inaktiv ist, starten Sie ihn.

Vor einiger Zeit hatten wir das gleiche Problem beim Bereinigen von Administratorkonten in einer größeren Umgebung. Obwohl die DCs-Überwachungsprotokolle technisch die erforderlichen Informationen liefern, haben wir uns für die Implementierung des ADAudit Plus-Produkts von ManageEngine entschieden, das diese Protokolle durchsucht und nach Anmeldeversuchen sowie nach Änderungen in AD sucht. Mit der eingebauten Berichtsfunktion und ein wenig Excel-Arbeit konnten wir (ziemlich einfach) feststellen, woher die Anmeldungen stammten. In unserem Fall handelte es sich hauptsächlich um Administratoren, die bei der Implementierung verschiedener Anwendungen Administratorkonten anstelle von Dienstkonten verwendet haben.

Was könnte getan werden, um die Ausfallsicherheit des Systems gegenüber einem solchen DOS für die Kontosperrung zu verbessern?

Das kannst du nicht.

Es gibt viele Dinge, die Ihr Haus niederbrennen können. Wie einfacher Code, um wiederholt IP-Adressen anzufordern, bis der DHCP-Bereich erschöpft ist. Oder einfacher Code, der Verzeichnisse erstellt, bis die MFT voll ist und Sie Ihre Partition neu formatieren müssen, um sie wiederherzustellen. Sie können nicht gegen alles schützen.

Ein häufigeres Szenario mit Aussperrungen sind die Personen, die ihre Anmeldeinformationen auf einer viel größeren Anzahl von Geräten eingeben, als dies noch vor einigen Jahren der Fall war. Zum Beispiel Drucker (zum Scannen per E-Mail) oder ein Smartphone oder Tablet. Wenn sie vergessen, wo sie ihre Anmeldeinformationen eingegeben haben, oder wenn sie keinen Zugriff mehr auf das Gerät haben, versucht das Gerät möglicherweise für immer, sich zu authentifizieren. E-Mail-Authentifizierung ist eine schwierige Methode, um diese Geräte aufzuspüren, und selbst wenn Sie dies tun, hat der Benutzer möglicherweise keinen Zugriff darauf oder weiß nicht, wo er sich befindet. IP 10.4.5.27? Ich kenne einen Benutzer, der jeden Tag den Helpdesk anrufen musste, um sein Konto zu entsperren. Dann meldeten sie sich sofort an und ihr Konto wurde wieder gesperrt. Sie haben das monatelang gemacht. Ich habe ihnen gesagt, dass sie ihr Konto umbenennen sollen.

Das Leben hat negative Anreize, wir können nicht alle von ihnen entfernen.