null

Массовые блокировки учётных записей пользователей в Active Directory

3 May 2024 0 Alexey Weiss

Массовые блокировки учетных записей в Active Directory могут быть вызваны различными причинами. Одной из распространенных причин является неправильное использование учетных данных, например, попытки несанкционированного доступа или использование слабых паролей, которые могут быть подвержены атакам перебора. Кроме того, ошибки в настройках безопасности или неправильные конфигурации машин также могут привести к блокировке учетных записей. Важно понимать, что массовые блокировки являются индикатором возможных проблем в безопасности и требуют немедленного вмешательства.

В этой статье описана общая последовательность действий, которая может привести к тому или иному решению конкретной проблемы.

1. Подключиться к любому DC и определить основной контроллер домена (Primary Domain Controller), PowerShell:

PS C:\Windows\system32> (Get-AdDomain).PDCEmulator
cndvdc03.spbstu.ru

2. Подключиться к основному контроллеру домена (PDC)

3. Проверить текущие политики блокировки учётных записей:

PS C:\Windows\system32> Get-ADDefaultDomainPasswordPolicy
ComplexityEnabled           : True
DistinguishedName           : DC=spbstu,DC=ru
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 10
MaxPasswordAge              : 42.00:00:00
MinPasswordAge              : 00:00:00
MinPasswordLength           : 8
objectClass                 : {domainDNS}
objectGuid                  : cb2a9d81-ac93-4ed0-b25f-087980d9fec0
PasswordHistoryCount        : 3
ReversibleEncryptionEnabled : False

​​​​​​​​​​​​​​​​​​​​​В результате выполнения этой команды вы получите информацию о настройках политики блокировки, таких как продолжительность блокировки, порог блокировки и другие.

4. При решении проблем с массовыми блокировками учетных записей важно проанализировать журналы событий на контроллерах домена.

Для этого откройте журнал Event Viewer и перейдите к разделу Security. Далее, включите фильтр событий и выберите следующие Event ID: 4625, 4740, 4741, 4771. Эти коды событий соответствуют различным аспектам аутентификации и блокировки учетных записей в Active Directory:

  • Event ID 4625: Это событие отображает неудачные попытки входа в систему. Оно может указывать на то, что кто-то пытается получить доступ к учетной записи с неправильными учетными данными.

  • Event ID 4740: Это событие сообщает о блокировке учетной записи из-за превышения порога неудачных попыток входа. При этом можно определить, какая учетная запись была заблокирована и из-за каких действий.

  • Event ID 4741: Это событие указывает на успешное разблокирование учетной записи после блокировки. Это может быть полезным для отслеживания действий по разблокировке учетных записей.

  • Event ID 4771: Это событие связано с неудачными попытками аутентификации с использованием протокола Kerberos. Оно может помочь в выявлении проблем с аутентификацией, которые могут привести к блокировке учетных записей.

После включения фильтра по указанным Event ID, изучите журнал событий для выявления аномалий в аутентификационных запросах и определения возможных причин массовых блокировок учетных записей. Обратите внимание на адреса клиентов и имена учетных записей, которые могут помочь в определении источников проблемы.

Рекомендуется временно расширить размер журнала Security до 512 Мб или 1 Гб, так как событий, связанных с аутентификацией, может быть много, и по умолчанию они перезаписываются.

Можно добавить некоторые дополнительные Event ID, которые могут быть полезны при анализе проблем с учетными записями:

  • Event ID 4776: Это событие указывает на успешную аутентификацию с использованием протокола Kerberos. Обнаружение неожиданных успешных аутентификаций может указывать на возможные проблемы безопасности, например, нарушение привилегий или несанкционированный доступ.

  • Event ID 4742: Это событие сообщает о создании новой учетной записи в Active Directory. Хотя это событие не прямо связано с проблемами блокировки учетных записей, оно может помочь в отслеживании изменений в структуре учетных записей, которые могут быть связаны с проблемами безопасности или аудита.

  • Event ID 4624: Это событие отображает успешные попытки входа в систему. В контексте анализа проблем с массовыми блокировками учетных записей, успешные попытки входа могут быть полезны для выявления необычной активности или нарушений безопасности.

На скриншотах ниже видно, с каких узлов поступали запросы на аутентификацию (поле Адрес клиента) и пользователь, который пытался пройти аутентификацию (поле Имя учётной записи)

5. Если удаленное устройство использует протокол NTLM для аутентификации в домене, важно выполнить поиск событий с Event ID 4625 на контроллерах домена. Эти события указывают на неудачные попытки аутентификации, которые могут быть связаны с использованием протокола NTLM. Поскольку такие события генерируются только на контроллерах домена, через которые были выполнены попытки аутентификации через NTLM, необходимо обратиться к соответствующим контроллерам. Анализ событий Event ID 4625 позволит выявить проблемы с аутентификацией и принять соответствующие меры для их решения.

Также можно использовать скрипт для поиска hostname-ов узлов, с которых приходят запросы для конкретного юзера (изменить значение переменной $Usr = ‘user’)

$Usr = ‘user’
$Pdc = (Get-AdDomain).PDCEmulator
$ParamsEvn = @{
‘Computername’ = $Pdc
‘LogName’ = ‘Security’
‘FilterXPath’ = "*[System[EventID=4740] and EventData[Data[@Name='TargetUserName']='$Usr']]"
}
$Evnts = Get-WinEvent @ParamsEvn
$Evnts | foreach {$_.Properties[1].value + ' ' + $_.TimeCreated}

6. Проверить наличие "странных" подключенных учетных записей: При просмотре Диспетчера задач на контроллерах домена обратите внимание на активные сеансы и подключенные учетные записи. Особое внимание следует уделить учетным записям, которые не принадлежат к группе администраторов или к группам, которые не должны иметь доступ к целевым узлам. Обнаружение подозрительных учетных записей может указывать на возможные нарушения безопасности, которые требуют дополнительного анализа и мер по их устранению.

7. Запуск антивирусных программ KVRT и Dr.Web CureIt: Для обеспечения дополнительного уровня безопасности рекомендуется запустить антивирусные программы KVRT и Dr.Web CureIt на контроллерах домена. При обнаружении потенциально вредоносного программного обеспечения следует принять необходимые меры для его удаления и очистки системы. Обратите внимание, что в случае обнаружения зловредного ПО может потребоваться перезагрузка сервера для завершения процесса удаления и обеспечения безопасности системы.

8*. Включить расширенный аудит безопасности.

Если не удается определить IP-адреса узлов, то необходимо включить расширенный аудит безопасности. Это позволит получить IP-адреса устройств, чьи имена не резолвятся в вашей сети через DNS, например, недоменные компьютеры или устройства без поддержки Kerberos аутентификации. Для этого выполните следующие шаги:

  • Перейдите в групповую политику Default Domain Controller Policy.

  • В разделе Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Configuration настройте следующие параметры аудита:

    Account Logon:

    • Audit Kerberos Authentication Service: Success, Failure
    • Audit Kerberos Service Ticket Operations: Success, Failure

    Logon/Logoff:

    • Audit Special Logon: Success, Failure

Включение этих параметров аудита позволит системе записывать события аутентификации и выдачи сервисных билетов Kerberos, а также особых входов в систему. Таким образом, вы сможете получить информацию о действиях, связанных с аутентификацией, и определить IP-адреса узлов, которые могут потенциально представлять угрозу безопасности вашей сети.

После включения расширенного аудита безопасности рекомендуется периодически анализировать события журналов для выявления аномальной активности и предотвращения возможных угроз.

9* Проверить событие с ID 4771 (возможно потребуется перезагрузить сервер):

При обнаружении события с ID 4771, указывающего на неудачную попытку аутентификации с использованием протокола Kerberos, которая сопровождается постоянной блокировкой учетной записи после смены пароля пользователем домена, необходимо принять дополнительные меры для решения проблемы.

Кейс: Недавно после смены пароля у одного из пользователей домена возникла проблема постоянной блокировки его учетной записи с совершенно другого компьютера в сети. На контроллере домена при этом повторялось событие Audit Failure с ID 4771. Блокируемый пользователь не был залогинен на этом компьютере, его профиль был оттуда удален, сохраненных паролей через control userpasswords2 не было.

Решение:

“There are passwords that can be stored in the SYSTEM context that can’t be seen in the normal Credential Manager view.”

  1. Скачать утилиту Microsoft PsExec.exe
  2. Скопировать её в C:\Windows\System32
  3. Запустить cmd от админа и вбить: psexec -i -s -d cmd.exe
  4. Откроется новое DOS окно: вбить rundll32 keymgr.dll,KRShowKeyMgr
  5. Удалить всё в списке Stored User Names and Passwords
  6. Перезагрузить сервер

10. После выполнения расширения журнала Security необходимо дать время для сбора информации. Рекомендуется дождаться несколько дней, чтобы события успели накопиться. Затем выгрузите журналы в формате .evtx, охватывающие следующие события: 1102, 4625, 4723, 4728, 4732, 4740, 4756, 4782. Это позволит вам более детально проанализировать события и выявить потенциальные угрозы или проблемы безопасности.

 

Useful links:

https://winitpro.ru/index.php/2014/05/07/poisk-istochnika-blokirovki-uchetnoj-zapisi-polzovatelya-v-active-directory/

Коротко о себе:


​​​​​​​Работаю инженером в компании Tune-it.

Nothing has been found. n is 0