在最近发生 Outlook 事件后,我想知道如何最有效地解决以下问题:
假设一个相当典型的中小型 AD 基础设施:若干 DC、若干内部服务器和 Windows 客户端、若干使用 AD 和 LDAP 从 DMZ 内进行用户身份验证的服务(SMTP 中继、VPN、Citrix 等)以及若干内部所有依赖 AD 进行身份验证的服务(Exchange、SQL 服务器、文件和打印服务器、终端服务服务器)。您可以完全访问所有系统,但它们数量过多(包括客户端),无法单独检查。
现在假设由于某种未知原因,每隔几分钟就会有一个(或多个)用户帐户由于密码锁定策略而被锁定。
- 找到对此负责的服务/机器的最佳方法是什么?
- 假设基础设施是纯粹的标准 Windows,没有额外的管理工具,并且与默认值相比几乎没有变化,是否有任何方法可以加速或改进查找此类锁定原因的过程?
- 可以做些什么来提高系统对这种帐户锁定 DOS 的弹性?禁用帐户锁定是一个显而易见的答案,但随后您会遇到用户可以轻松利用密码的问题,即使强制执行复杂性也是如此。
添加一些我在给出的答案中看不到的东西。
您不能只查看 PDCe 上的安全日志,因为虽然 PDCe 确实有关于整个域的帐户锁定的最新信息,但它没有关于来自哪个客户端(IP 或主机名)失败的登录尝试来自,假设失败的登录尝试发生在除 PDCe 之外的另一个 DC 上。PDCe 会说“帐户 xyz 已被锁定”,但不会说失败的登录发生在域中的另一个 DC 上的位置。只有实际验证登录的 DC 才会记录登录失败,包括客户端的地址。(也没有将 RODC 带入本次讨论。)
当您有多个域控制器时,有两种很好的方法可以找出失败的登录尝试来自何处。事件转发和微软的帐户锁定工具。
我更喜欢将事件转发到中心位置。将所有域控制器的失败登录尝试转发到中央日志服务器。然后,您只有一个地方可以查找整个域中的失败登录。事实上,我个人并不是很喜欢微软的帐户锁定工具,所以现在有一个好方法。
事件转发。你会喜欢的。
看上面。然后,您可以使用您的监控系统,例如 SCOM 或 Nagios 或任何您使用的东西,梳理该单一事件日志并用短信或其他任何东西炸毁您的手机。没有比这更快的速度了。
不久前,我们在更大的环境中清理管理员帐户时遇到了同样的问题。尽管 DC 审核日志在技术上提供了所需的信息,但我们决定实施 ManageEngine 的 ADAudit Plus 产品,该产品会扫描这些日志并查找登录尝试以及 AD 中的任何更改。使用内置的报告功能和一些 Excel 工作,我们能够(非常容易地)追踪登录的来源。在我们的案例中,这主要与管理员在实施各种应用程序时使用管理员帐户而不是服务帐户有关。
你不能。
有很多事情可以烧毁你的房子。就像重复请求 IP 地址直到 DHCP 范围用完的简单代码。或者创建目录的简单代码,直到 MFT 已满,您必须重新格式化分区才能恢复它。你不能保护一切。
锁定的更常见情况是人们在比几年前更常见的设备中输入其凭据的人。例如打印机(用于电子邮件扫描)或智能手机或平板电脑。如果他们忘记了输入凭据的位置,或者他们不再有权访问设备,则设备可能会继续尝试永远进行身份验证。电子邮件身份验证是追踪这些设备的艰难载体,即使您这样做了,用户也可能无法访问它或知道它在哪里。IP 10.4.5.27?我知道有一位用户必须每天致电服务台以解锁他们的帐户,然后他们会立即登录,然后他们的帐户又会被锁定。他们这样做了几个月。我告诉他们重新命名他们的帐户。
生活有抑制因素,我们不能全部消除。