Tho*_*mas 8 active-directory windows-server-2008-r2 windows-server-2012-r2
我们有一个包含大约 15 个服务器和大约 30 个工作站的域。服务器多为2008r2,工作站多为Windows 7,两台DC为2012r2。每隔几周,我们的一个管理员帐户就会被锁定。我试图缩小原因,但我已经走到了死胡同。
这就是我所拥有的。
PDC 上的事件日志显示事件 4776 - 审核成功:
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: username
Source Workstation:
Error Code: 0x0
所有这些都是相同的用户名,并且每秒重复多次。
根据事件 ID,这些是 NTLM 登录而不是 Kerberos。尽管使用的身份验证类型比剪切量更让我担心。这种情况每秒会发生几次,并且每隔几秒钟就会无限重复,无论白天黑夜还是周末。
事件日志还显示此用户名的审核成功事件 ID 4624(登录)和 4634(注销),但与上面的事件一样,“工作站”字段为空。
我启用了详细的 netlogon 日志记录并且 netlogon.log 显示
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Entered
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Returns 0x0
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Entered
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Returns 0x0
等等等等。这些登录的明显来源(通过 XYZ)可能包括来自整个网络的工作站和服务器。
显然,这看起来像一个自动化或脚本。由于登录通常都是成功的,我不认为这是一次入侵尝试。然而,有些登录确实会不时失败,但我没有发现任何失败的模式,而且它们发生的频率很低,以至于(大多数日子)它们不会锁定帐户。有一个时的失败代码通常是0xc0000022 (Access Denied)
我已经从其中一台服务器禁用并卸载了我们的远程监控代理(目前是 Kaseya,但我们最终要迁移到 LabTech),但仍然看到来自该服务器的新事件,因此这排除了自动化任务。我还检查了几台服务器上的任务调度程序,没有发现任何异常。我已检查服务以验证登录帐户,但此帐户未用于任何服务。
我运行 Netstat 很长一段时间,主要看到从“系统”和“系统空闲进程”到 PDC 的连接。我确实看到了来自 spoolsrv 和 lsass 以及 ismserv 的偶尔连接(我正在测试的服务器是 Citrix XenApp 服务器,但其他“源”服务器不在 XenApp 场中,当然“源”工作站也不在)。我停止打印后台处理程序服务只是为了测试,它对登录事件没有影响。
我在 MSP 工作,这是我们的主要技术人员 dom 管理员帐户,因此它的工作和安全是重中之重。我留下的最后一个想法是更改密码并查看有什么问题,但不知道帐户用于此目的可能会产生潜在的灾难性后果。但是,我怀疑这可能只是配置错误的 AD。
有没有人以前经历过这样的事情并且能够确定来源?
小智 1
我建议在您的 DC 上进一步启用 NTLM 审核。使用默认域控制器策略,启用以下策略设置:
网络安全:限制 NTLM:审核传入流量 =为所有帐户启用审核 网络安全:限制 NTLM:审核此域中的 NTLM 身份验证 =全部启用 网络安全:限制 NTLM:到远程服务器的传出 NTLM 流量 =审核全部
https://support.symantec.com/en_US/article.HOWTO79508.html
启用后,在事件查看器中导航至:应用程序和服务日志 > Microsoft > Windows > NTLM > 操作
将出现时间戳与您的 netlogon 事件时间戳相匹配的事件。该日志将显示实际的工作站名称。
特别是为了帮助您进一步识别来源,此日志中的安全通道名称将有助于缩小进程起源的范围。
| 归档时间: |
|
| 查看次数: |
3038 次 |
| 最近记录: |