วิธีค้นหาสาเหตุของบัญชีผู้ใช้ที่ถูกล็อคในโดเมน Windows AD

18

หลังจากเหตุการณ์ล่าสุดกับ Outlook ฉันสงสัยว่าฉันจะแก้ปัญหาต่อไปนี้ได้อย่างมีประสิทธิภาพมากที่สุด:

สมมติว่าโครงสร้างพื้นฐานของโฆษณาขนาดเล็กถึงขนาดกลางค่อนข้างธรรมดา: DCs หลายแห่ง, เซิร์ฟเวอร์ภายในและไคลเอนต์ windows หลายบริการที่ใช้ AD และ LDAP สำหรับการตรวจสอบผู้ใช้จากภายใน DMZ (รีเลย์ SMTP, VPN, Citrix ฯลฯ ) และภายในหลายแห่ง บริการทั้งหมดใช้ AD เพื่อการรับรองความถูกต้อง (Exchange, SQL server, ไฟล์และเซิร์ฟเวอร์การพิมพ์, เซิร์ฟเวอร์บริการเทอร์มินัล) คุณสามารถเข้าถึงระบบทั้งหมดได้อย่างเต็มที่ แต่มีจำนวนมากเกินไป (นับลูกค้า) เพื่อตรวจสอบทีละรายการ

ทีนี้สมมติว่าด้วยเหตุผลที่ไม่ทราบสาเหตุบัญชีผู้ใช้หนึ่งคนขึ้นไปจะถูกล็อคเนื่องจากนโยบายการล็อคด้วยรหัสผ่านทุกสองสามนาที

  • อะไรจะเป็นวิธีที่ดีที่สุดในการค้นหาบริการ / เครื่องจักรที่รับผิดชอบในเรื่องนี้?
  • สมมติว่าโครงสร้างพื้นฐานนั้นบริสุทธิ์ Windows มาตรฐานที่ไม่มีเครื่องมือการจัดการเพิ่มเติมและการเปลี่ยนแปลงเล็กน้อยจากค่าเริ่มต้นมีวิธีใดบ้างที่กระบวนการค้นหาสาเหตุของการล็อกดังกล่าวอาจเร่งหรือปรับปรุงได้
  • สิ่งที่สามารถทำได้เพื่อปรับปรุงความยืดหยุ่นของระบบจากการปิดบัญชี DOS เช่นนี้? การปิดใช้งานการล็อกบัญชีเป็นคำตอบที่ชัดเจน แต่คุณพบปัญหาของผู้ใช้ที่มีวิธีการใช้ประโยชน์จากรหัสผ่านที่สามารถใช้ประโยชน์ได้ง่ายแม้จะมีการบังคับใช้ความซับซ้อน
windows  active-directory 
สเตฟาน
แหล่งที่มา
1
ดูในบันทึกการรักษาความปลอดภัยบน PDCe
Mathias R. Jessen
คำถามที่น่าประทับใจ เอาเนื้อออกดี
Pecos Bill

คำตอบ:

13

เพิ่มสิ่งที่ฉันไม่เห็นในคำตอบที่ได้รับ

อะไรจะเป็นวิธีที่ดีที่สุดในการค้นหาบริการ / เครื่องจักรที่รับผิดชอบในเรื่องนี้?

คุณไม่สามารถเพียงแค่มองไปที่เข้าสู่ระบบการรักษาความปลอดภัยบน PDCE เพราะในขณะที่ PDCE จะมีข้อมูลที่ทันสมัยที่สุดเกี่ยวกับการล็อกบัญชีสำหรับโดเมนทั้งหมดมันไม่ได้มีข้อมูลเกี่ยวกับการจากที่ลูกค้า (IP หรือ ชื่อโฮสต์) ความพยายามในการเข้าสู่ระบบที่ล้มเหลวมาจากสมมติว่าความพยายามในการเข้าสู่ระบบล้มเหลวเกิดขึ้นกับ DC อื่นนอกเหนือจาก PDCe PDCe จะบอกว่า "บัญชี xyz ถูกล็อค" แต่จะไม่พูดจากที่ใดหากมีการเข้าสู่ระบบที่ล้มเหลวเกิดขึ้นกับ DC อื่นในโดเมน เฉพาะ DC ที่ตรวจสอบความถูกต้องจริงในการเข้าสู่ระบบเท่านั้นที่จะบันทึกความล้มเหลวในการเข้าสู่ระบบรวมถึงที่อยู่ของลูกค้า (อย่านำ RODCs มาอภิปรายด้วย)

มีสองวิธีที่ดีในการค้นหาว่าความพยายามในการเข้าสู่ระบบล้มเหลวเกิดขึ้นเมื่อคุณมีตัวควบคุมโดเมนหลายตัว ส่งต่อเหตุการณ์และไมโครซอฟท์เครื่องมือการล็อกบัญชี

ฉันชอบการส่งต่อเหตุการณ์ไปยังตำแหน่งกลาง ส่งต่อความพยายามในการเข้าสู่ระบบล้มเหลวจากตัวควบคุมโดเมนทั้งหมดของคุณไปยังเซิร์ฟเวอร์การเข้าสู่ระบบกลาง จากนั้นคุณมีที่เดียวเท่านั้นที่จะมองหาการเข้าสู่ระบบที่ล้มเหลวในโดเมนทั้งหมดของคุณ ในความเป็นจริงฉันเองไม่ชอบเครื่องมือการล็อกบัญชีของ Microsoft จริงๆดังนั้นตอนนี้ก็มีวิธีหนึ่งที่ดี

การส่งต่อเหตุการณ์ คุณจะรักมัน

สมมติว่าโครงสร้างพื้นฐานนั้นบริสุทธิ์ Windows มาตรฐานที่ไม่มีเครื่องมือการจัดการเพิ่มเติมและการเปลี่ยนแปลงเล็กน้อยจากค่าเริ่มต้นมีวิธีใดบ้างที่กระบวนการค้นหาสาเหตุของการล็อกดังกล่าวอาจเร่งหรือปรับปรุงได้

ดูด้านบน. จากนั้นคุณสามารถมีระบบการตรวจสอบของคุณเช่น SCOM หรือ Nagios หรืออะไรก็ตามที่คุณใช้รวมบันทึกเหตุการณ์เดียวและทำให้โทรศัพท์มือถือของคุณระเบิดด้วยข้อความหรืออะไรก็ตาม มันไม่ได้เร่งเร็วกว่านี้อีกแล้ว

สิ่งที่สามารถทำได้เพื่อปรับปรุงความยืดหยุ่นของระบบจากการปิดบัญชี DOS เช่นนี้?

  1. การศึกษาของผู้ใช้ บอกให้พวกเขาหยุดการตั้งค่าบริการ Windows ให้ทำงานภายใต้บัญชีผู้ใช้โดเมนของพวกเขาออกจากระบบเซสชัน RDP เมื่อเสร็จแล้วสอนพวกเขาถึงวิธีการล้าง Windows Credential Vault ของรหัสผ่านที่แคชไว้สำหรับ Outlook และอื่น ๆ
  2. ใช้บัญชีบริการที่มีการจัดการซึ่งคุณสามารถทำได้เพื่อให้ผู้ใช้ไม่ต้องจัดการรหัสผ่านสำหรับบัญชีผู้ใช้เหล่านั้นอีกต่อไป ผู้ใช้โคลนทุกอย่าง หากคุณให้ผู้ใช้มีทางเลือกเขาหรือเธอจะเลือกผิดเสมอ ดังนั้นอย่าเลือกพวกเขา
  3. การบังคับใช้การหมดเวลาเซสชันระยะไกลผ่าน GPO หากผู้ใช้ไม่ได้ใช้งานในเซสชัน RDP เป็นเวลา 6 ชั่วโมงให้ปิดการใช้งาน
Ryan Ries
แหล่งที่มา
1
+1 สำหรับ "ให้ผู้ใช้มีตัวเลือกเขาหรือเธอจะเลือกผิดเสมอ"
Devon_C_Miller
ขอขอบคุณที่ชี้ออกมาให้บริการบัญชีการจัดการ ฉันจำคำอธิบายไม่ได้สองสามวันก่อนเมื่อค้นหาวิธีละเว้นบัญชีผู้ใช้ที่ทำงานเป็นบริการ
John aka hot2use
3

เรามีปัญหาเดียวกันในขณะที่ล้างข้อมูลบัญชีผู้ดูแลระบบในสภาพแวดล้อมที่กว้างขึ้น แม้ว่าบันทึกการตรวจสอบ DC จะให้ข้อมูลที่จำเป็นในทางเทคนิคเราตัดสินใจใช้ผลิตภัณฑ์ ADAudit Plus ของ ManageEngine ซึ่งจะสแกนบันทึกเหล่านี้และค้นหาความพยายามในการเข้าสู่ระบบพร้อมกับการเปลี่ยนแปลงใด ๆ ในโฆษณา การใช้คุณสมบัติการรายงานในตัวและการทำงานของ Excel ทำให้เราสามารถติดตาม (ได้อย่างง่ายดาย) ที่มาจากการเข้าสู่ระบบ ในกรณีของเราส่วนใหญ่เกี่ยวข้องกับผู้ดูแลระบบที่ใช้บัญชีผู้ดูแลระบบแทนบัญชีบริการเมื่อใช้งานแอปพลิเคชันต่างๆ

Trondh
แหล่งที่มา
ความคิดเห็นใด ๆ เกี่ยวกับ Free Edition vs the Professional หรือไม่
Bozojoe
3

สิ่งที่สามารถทำได้เพื่อปรับปรุงความยืดหยุ่นของระบบจากการปิดบัญชี DOS เช่นนี้?

คุณทำไม่ได้

มีหลายสิ่งหลายอย่างที่สามารถเผาบ้านของคุณได้ ชอบรหัสง่าย ๆ เพื่อขอที่อยู่ IP ซ้ำ ๆ จนกว่าขอบเขต DHCP จะหมดลง หรือรหัสง่ายๆที่สร้างไดเรกทอรีจนกว่า MFT จะเต็มและคุณต้องฟอร์แมตพาร์ติชันของคุณเพื่อกู้คืน คุณไม่สามารถป้องกันทุกสิ่งได้

สถานการณ์ทั่วไปที่มีการล็อกเอาต์คือผู้ที่ป้อนข้อมูลประจำตัวของพวกเขาในอุปกรณ์ที่หลากหลายกว่าปกติเมื่อไม่กี่ปีที่ผ่านมา เช่นเครื่องพิมพ์ (เพื่อสแกนอีเมล) หรือสมาร์ทโฟนหรือแท็บเล็ต หากพวกเขาลืมที่พวกเขาป้อนข้อมูลประจำตัวของพวกเขาหรือหากพวกเขาไม่สามารถเข้าถึงอุปกรณ์ได้อีกต่อไปเป็นไปได้ว่าอุปกรณ์จะพยายามตรวจสอบต่อไปเรื่อย ๆ การรับรองความถูกต้องของอีเมลเป็นเวกเตอร์ที่ยากต่อการติดตามอุปกรณ์เหล่านี้และแม้ว่าคุณจะทำก็ตามผู้ใช้อาจไม่สามารถเข้าถึงหรือรู้ว่าอยู่ที่ไหน IP 10.4.5.27? ฉันรู้ว่ามีผู้ใช้รายหนึ่งที่ต้องโทรไปที่แผนกช่วยเหลือทุกวันเพื่อให้บัญชีของพวกเขาถูกปลดล็อคจากนั้นพวกเขาจะเข้าสู่ระบบทันทีจากนั้นบัญชีของพวกเขาจะล็อคอีกครั้ง พวกเขาทำสิ่งนี้เป็นเวลาหลายเดือน ฉันบอกให้พวกเขาเปลี่ยนชื่อบัญชี

ชีวิตมีสิ่งที่ไม่เหมาะสมเราไม่สามารถลบสิ่งเหล่านี้ได้ทั้งหมด

เกร็กเบน
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.