Выявляем источник блокировки учетной записи пользователя в Active Directory

Политика безопасности учетных записей в большинстве организаций требует обязательного блокирования учетной записи пользователя Active Directory в случае n-кратного неправильного набора пароля пользователем. Обычно учетная запись блокируется на несколько минут (5-30) в течении которых вход пользователя в систему невозможен. Через определение время, заданное политиками безопасности учетная запись автоматически разблокируется.


Политика блокировки учетных записей обычно задается сразу для всего домена политикой Default Domain Policy. Интересующие нас политики находятся в разделе Computer Configuration -> Windows Settings -> Security Settings -> Account Policy -> Account Lockout Policy. Это политики:

  • Account lockout threshold – через сколько неудачных попыток набора пароля учетная запись должна быть заблокирована
  • Account lockout duration – на какое время будет заблокирована учетная запись (по истечении этого времени блокировка будет снята автоматически)
  • Reset account lockout counter after – через какое время будет сброшен счетчик неудачных попыток авторизацииaccount-lockout-policy
  • Совет. Вручную снять блокировку учетной записи, не дожидаясь автоматической разблокировки, можно с помощью консоли ADUC в  свойствах учетной записи пользователя на вкладке Account, поставив чекбокс наUnlock account. This account is currently locked out on this Active Directory Domain Controller.
  • unlock_account
  • Определяем компьютер с которого была заблокирована учетная запись

    В первую очередь администратору нужно разобраться с какого компьютера / сервера происходят попытки ввода неверных паролей  и идет дальнейшая блокировка учетной записи.  Событие блокировки учетной записи домена можно найти в журнале Security на контролере домена. Отфильтруйте журнала безопасности по событию с Event ID 4740.lockout-eventid-4740

  • Итак, мы нашли событие в котором указано что такая-то учетная запись (имя учетной записи указано в строкеAccount Name) заблокирована (A user account was locked out). Имя компьютера, с которого была произведена блокировка  указано в поле Caller Computer Name. В данном случае имя компьютера – TS01
  • Выявляем программу — причину блокировки учетной записи

    Итак, мы определили с какого компьютера/ устройства была заблокирована учетная запись. Теперь хотелось бы понять, какая программа или процесс являются источником блокировки.

    Часто пользователи начинаю жаловаться на блокировку своей учетной записи после плановой смены пароля своей доменной учетной записи. Это наталкивает на мысль, что старый/неверный пароль сохранен в некой программе, скрипте или службе, которая периодически пытается авторизоваться в домене с устаревшим паролем,  Рассмотрим самые распространение места, в которых пользователь мог сохранить свой старый /неверный пароль:

    1. Монтирование сетевого диска через net use (Map Drive)
    2. В заданиях планировщика Windows (Task Scheduler)
    3. В службах Windows, которые настроены на запуск из-под доменной учетной записи
    4. Сохранённые данные в менеджере паролей в панели управления (Credential Manager)
    5. Браузеры
    6. Мобильные устройства (например, использующееся для доступа к корпоративной почте)
    7. И др.

Для более детального аудита блокировок на найденной машине необходимо включить ряд локальныхполитик аудита Windows. Для этого на локальном компьютере, на котором нужно отследить источник блокировки, откройте редактор групповых политик Gpedit.msc и в разделе Compute Configurations -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy включите политики:

  • Audit process tracking: Success , Failure
  • Audit logon events: Success , Failure
  • logon-events-policy

Дождитесь очередной блокировки учетной записи и найдите d журнала безопасности (Security) события сEvent ID 4625. В нашем это событие выглядит так:

user-lock-process

Из описания события видно, что источник блокировки учетной записи – процесс mssdmn.exe (является компонентом Sharepoint). Осталось сообщить пользователю о том, что ему необходимо обновить свой пароль на веб-портале Sharepoint.

После окончания анализа,  выявления и наказания виновника не забудьте отключить действие активированных групповых политик аудита.

 

Добавить комментарий