web-dev-qa-db-ja.com

Windows ADドメインでユーザーアカウントがロックされている原因を見つける方法

Outlookでの最近のインシデントの後、次の問題を最も効率的に解決するにはどうすればよいかと思いました。

DMZ(SMTPリレー、VPN 、Citrixなど)およびいくつかの内部サービスはすべて認証をADに依存しています(Exchange、SQLサーバー、ファイルサーバーとプリントサーバー、ターミナルサービスサーバー)。すべてのシステムにフルアクセスできますが、数が多すぎます(クライアント)個別にチェックします。

いくつかの未知の理由により、数分ごとにパスワードロックアウトポリシーにより1つ(または複数)のユーザーアカウントがロックアウトされると仮定します。

  • これを担当するサービス/マシンを見つけるための最良の方法は何でしょうか?
  • インフラストラクチャが純粋で、追加の管理ツールがなく、デフォルトからの変更がほとんどない標準のWindowsであるとすると、そのようなロックアウトの原因を見つけるプロセスを加速または改善できる方法はありますか?
  • このようなアカウントロックアウトDOSに対するシステムの復元力を向上させるために何ができるでしょうか?アカウントロックアウトを無効にすることは明らかな答えですが、複雑さが適用されていても、ユーザーが簡単に悪用可能なパスワードを入手する方法に直面するという問題に遭遇します。
windowsactive-directory
18
Stephane

指定された回答に表示されないものを追加します。

これを担当するサービス/マシンを見つけるための最良の方法は何でしょうか?

PDCeはドメイン全体のアカウントロックアウトに関する最新の情報を持っているので、PDCeのセキュリティログをだけ見ることはできません。失敗したログオン試行がPDCe以外の別のDC=で発生したと仮定すると、失敗したログオン試行がどのクライアント(IPまたはホスト名)からのものであるかに関する情報はありません。PDCeは、アカウントxyzはロックアウトされましたが、別のDCドメインでログオンの失敗が発生した場合、どこからかはわかりません。DC実際にログオンを検証すると、クライアントのアドレスを含め、ログオンの失敗が記録されます(RODCについては説明しません)。

複数のドメインコントローラーがある場合、失敗したログオン試行がどこから来ているのかを見つけるには、2つの良い方法があります。 イベント転送 、およびMicrosoftの アカウントロックアウトツール

中央の場所へのイベント転送を好みます。失敗したログオン試行をすべてのドメインコントローラーから中央のログサーバーに転送します。次に、ドメイン全体で失敗したログオンを探す場所が1つだけあります。実際、私は個人的にMicrosoftのアカウントロックアウトツールをあまり好きではないので、1つ良い方法があります。

イベント転送。気に入ると思います。

インフラストラクチャが純粋で、追加の管理ツールがなく、デフォルトからの変更がほとんどない標準のWindowsであると仮定すると、そのようなロックアウトの原因を見つけるプロセスを加速または改善できる方法はありますか?

上記を参照。次に、SCOMやNagiosなどの監視システムを使用して、その単一のイベントログをくし、携帯電話をテキストメッセージなどで爆破することができます。それ以上に加速されることはありません。

このようなアカウントロックアウトDOSに対するシステムの復元力を向上させるために何ができるでしょうか?

  1. ユーザー教育。ドメインユーザーアカウントで実行するようにWindowsサービスの設定を停止するように指示する、完了したらRDPセッションからログオフする、OutlookのキャッシュされたパスワードのWindows資格情報ボールトをクリアする方法などを指示する.
  2. ユーザーがそれらのユーザーアカウントのパスワードを管理する必要がないようにできる場合は、管理されたサービスアカウントを使用します。ユーザーはすべてをだまします。ユーザーに選択肢を与えると、ユーザーは常に間違った選択をします。だから彼らに選択を与えないでください。
  3. GPOを介したリモートセッションタイムアウトの適用。ユーザーがRDPセッションで6時間アイドル状態の場合は、ユーザーをキックオフします。
13
Ryan Ries

以前より大きな環境で管理者アカウントをクリーンアップしているときにも同じ問題が発生しました。 DCの監査ログは技術的に必要な情報を提供しますが、これらのログをスキャンしてログオンの試行とADの変更を検索するManageEngineのADAudit Plus製品を実装することにしました。組み込みのレポート機能と少しのExcel作業を使用して、ログオン元を(かなり簡単に)追跡することができました。私たちの場合、それは主に、さまざまなアプリケーションを実装するときに、サービスアカウントではなく管理者アカウントを使用した管理者に関連しています。

3
Trondh

このようなアカウントロックアウトDOSに対するシステムの復元力を向上させるために何ができるでしょうか?

できません。

あなたの家を焼くことができる多くのものがあります。 DHCPスコープが使い果たされるまで繰り返しIPアドレスを要求する単純なコードのように。または、MFTがいっぱいになるまでディレクトリを作成する単純なコードで、パーティションを再フォーマットして復元する必要があります。すべてを保護することはできません。

ロックアウトのより一般的なシナリオは、数年前に一般的だったよりもはるかに幅広いデバイスに資格情報を入力する人々です。プリンター(メールスキャン用)、スマートフォン、タブレットなど。資格情報を入力した場所を忘れた場合、またはデバイスにアクセスできなくなった場合、デバイスが認証を永久に試行し続ける可能性があります。メール認証は、これらのデバイスを追跡するのが難しいベクトルであり、あなたがそうしたとしても、ユーザーはそれにアクセスできなかったり、どこにあるのかを知らない可能性があります。 IP 10.4.5.27?アカウントをロック解除するためにヘルプデスクに毎日電話をかけなければならない1人のユーザーがいることを知っています。そのユーザーはすぐにログオンし、その後アカウントが再びロックアウトされます。彼らはこれを数ヶ月間行った。アカウントの名前を変更するように言いました。

人生には阻害要因があり、すべてを取り除くことはできません。

3
Greg Askew