Como posso encontrar a origem dos usuários do domínio do Windows 7 enviando tentativas de senha incorretas para o servidor 2008r2?

Navegue suas respostas
1

Eu sei que os usuários estão constantemente sendo bloqueados por causa de tentativas incorretas de senha, e eles só vêm de sua máquina (usando a antiga ferramenta de bloqueio de conta ms desatualizada e outros para descobrir isso) Eu não sei qual é a fonte desses nos computadores em questão . Acontece mesmo quando o computador está ali parado sem fazer nada. (eles podem ter programas abertos, mas não há área de trabalho remota para eles ou pessoas vivas sentadas na estação de trabalho)

Parece enviar um para o CD a cada 15 a 30 minutos, mas varia de acordo com o usuário. Eu redefinir o número de bloqueio para 20 para que eles não ficariam bloqueados o tempo todo, mas eu gostaria de encontrar uma solução para real.

Nenhuma tarefa agendada está sendo executada, eles não mapearam todas as unidades e as remapearam. Mesmo quando eles estavam no lugar, parece estranho que isso causaria muitas tentativas em uma hora de qualquer maneira.

Todas as máquinas são o Windows 7 com as atualizações mais recentes e executam varreduras de vírus, malware e spyware sem nada encontrado.

Temos uma conta de troca hospedada com a Rackspace, portanto, não conectada ao DC. (a menos que eu esteja faltando alguma coisa aqui)

    
por Matt 11.10.2012 / 20:34

4 respostas

1

Não tenho certeza se funcionará com o Server 2008, mas a Microsoft tem algumas ferramentas para o Server 2003 rastrear esse tipo de comportamento.

Elas são chamadas de Ferramentas de bloqueio de conta e você pode fazer o download delas no link ou leia-os no link

Uma das ferramentas verificará o log de eventos no controlador de domínio procurando por falhas de auditoria e informará o nome do dispositivo que inicia a solicitação.

    
por 11.10.2012 / 21:00
1
  1. Verifique o log de eventos na máquina de um usuário afetado, você pode ter sorte e encontrar tentativas fracassadas.
  2. Solicite que um usuário seja voluntário e execute o Process Monitor em sua máquina até que o problema seja reproduzido. link (ative o registro em disco, obtenha o arquivo deles, etc.)
  3. Você pode entrevistar alguns usuários e ver se há algum programa que eles executam, talvez um que se lembre da senha deles ou algo assim. Todos eles mudaram sua senha recentemente?
  4. Pode ser necessário recorrer à execução do Netmon (pode haver versões mais recentes por aí, não sei) em uma de suas máquinas e examinar o tráfego de rede para determinar qual processo está enviando a tentativa de logon.
por 11.10.2012 / 20:41
1

Este exemplo de artigo mostra como rastrear o bloqueio de conta.

Espero que isso ajude.

link

link

    
por 11.10.2012 / 21:53
0

É o Outlook 2010. Eu tinha um usuário abrir e fechar apenas este programa, e demorou alguns segundos para conectar ao servidor, e quando eu executei Lockoutstatus (de Account Lockout Tools), cada "senha incorreta" coincidiu com a hora exata em que ele abriu o Outlook. Foi entre 3 e 5 "tentativas ruins" por abertura, não apenas uma.

No entanto, usamos o Rackspace Hosted Exchange 2010. Nós usamos o mesmo [email protected] como fazemos para logins em nosso controlador de domínio. Então, eu sou [email protected] e também faço logon no nosso DC como matt.hughes

    
por 29.10.2012 / 15:04

Tags

Problemas do notebook com CA / bateria (não é uma simples correção de carregamento) De onde vem a convenção para usar o F9 para atualização?