最近2周一直被一個問題困擾,有用戶頻繁被鎖定。但是無法找到用戶從哪里發送的驗證信息。
原因是為了加強安全監控,啟用了用戶賬戶鎖定的通知。這個鎖定通知是通過事件日志結合計划任務發送的,具體如何操作可以參考之前的文章《監控賬戶登錄》或者《Windows 2012 R2 計划任務發送郵件》。
賬戶被鎖定的唯一原因就是頻繁的提供錯誤憑據做身份驗證。當錯誤次數超過組策略里配置的限制次數后就會被鎖定一段時間。鎖定時間同樣也是在組策略里配置的。這種鎖定策略可以有效的保護賬戶安全,避免暴力破解。
現在賬戶被頻繁鎖定,我們必須找到源頭,然后判斷是否存在攻擊。一旦用戶賬戶被盜取,之后會引發一系列的垃圾郵件,病毒傳播等問題。賬戶鎖定的事件ID是4740,在PDC上會記錄。
這里通常會記錄客戶端的計算機名,Source Workstation。但是這里記錄的卻是WORKSTATION。一般不會有計算機會改成這個名字的。后來經過2天的查找,也沒有找到這個名為 WORKSTATION的計算機。
進一步檢查安全日志,會發現有4776的登錄失敗的日志。但是記錄的也只是WORKSTATION。4776,MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 只能說明這是一個NTLM的驗證行為。並不是Kerberos驗證,否則會有4771的日志,並且能顯示客戶端IP。0xC000006A表示用戶名正確,但是密碼錯誤。https://www.cnblogs.com/qishine/p/15632829.html
在網上查了很多文章,都說要繼續查找4625的日志。但是域控上並沒有記錄到相關的日志,其它登錄錯誤基本都有,但是就是這個WORKSTATION沒有,並且有多個賬戶都在WORKSTATION上被鎖定。如果這是一台公司內的電腦,那么它很可能中病毒了,並且在嘗試登錄一些賬戶。
對於只記錄了計算機名,但是又不是域內客戶端的情況下問題就很棘手了。對於一些按規范命名的計算機來說還能查一下電腦發放記錄追查一下。但是對於一個只有計算機名並且無記錄,不在域內的客戶端來說,無疑增加了它是一台中毒的計算機,或者是肉雞的概率。必須盡快找到並檢查。
接着,我又嘗試在PDC上抓包看一下是不是能獲取到客戶端的真實IP。WireShark可以直接使用ntlmssp這個過濾器來過濾。結果也沒有發現有NTLM的驗證信息。
接下去,又考慮在PDC上啟用Netlogon的Debug日志。方法如下:
Nltest /DBFlag:2080FFFF 然后重啟netlogon服務。關閉debug日志的方法也很簡單,運行Nltest /DBFlag:0x0后重啟netlogon服務就可以了。
日志文件位於Windows目錄下debug文件夾中的netlogon.log。結果很快的就發現了有用信息。
via后面就是我們的郵件服務器。於是在登錄郵件服務器查看。直接過濾4625的日志。因為頻繁驗證失敗,所以很容易就找到登錄信息。並且這里記錄了客戶端的來源IP。
經過檢查,是一台MAC OS電腦,然后OUTLOOK配置了錯誤的用戶名和密碼,導致驗證失敗,賬戶被鎖定。據此為經驗,之后發現在WORKSTATION上鎖定的,首先檢查客戶端是否是mac os。如果是則進一步檢查outlook配置,極大的提高了排查問題的效率。