Como encontrar a causa da conta de usuário bloqueada no domínio do Windows AD

17

Após um incidente recente com o Outlook, fiquei imaginando como resolveria com mais eficiência o seguinte problema:

Suponha uma infra-estrutura típica de AD de pequeno a médio porte: vários DCs, vários servidores internos e clientes Windows, vários serviços usando AD e LDAP para autenticação de usuário na DMZ (retransmissão SMTP, VPN, Citrix, etc.) e vários serviços internos, todos confiando no AD para autenticação (Exchange, SQL server, servidores de arquivos e impressão, servidores de serviços de terminal). Você tem acesso total a todos os sistemas, mas eles são um pouco numerosos demais (contando os clientes) para verificar individualmente.

Agora, suponha que, por algum motivo desconhecido, uma (ou mais) conta de usuário seja bloqueada devido à política de bloqueio de senha em intervalos de alguns minutos.

  • Qual seria a melhor maneira de encontrar o serviço / máquina responsável por isso?
  • Assumindo que a infraestrutura é pura, o Windows padrão sem nenhuma ferramenta de gerenciamento adicional e com poucas alterações do padrão, existe alguma maneira de acelerar ou melhorar o processo de encontrar a causa desse bloqueio?
  • O que poderia ser feito para melhorar a resiliência do sistema contra tal bloqueio de conta do DOS? Desativar o bloqueio de conta é uma resposta óbvia, mas você se depara com a questão de os usuários terem acesso a senhas facilmente exploráveis, mesmo com a complexidade imposta.
por Stephane 22.10.2013 / 11:12

3 respostas

12

Adicionando algo que não vejo nas respostas dadas.

What would be the best way to find the service/machine responsible for this ?

Você não pode apenas examinar o log de Segurança no PDCe, porque, embora o PDCe tenha as informações mais atualizadas sobre os bloqueios de conta de todo o domínio, ele não ter as informações sobre a partir de qual cliente (IP ou hostname) as tentativas de logon com falha vieram, assumindo que as tentativas de logon com falha ocorreram em outro controlador de domínio, além do PDCe. O PDCe dirá que "Conta xyz foi bloqueada", mas não dirá de onde, se os logons com falha estavam ocorrendo em outro DC no domínio. Somente o controlador de domínio que realmente validou o logon registrará a falha de logon, incluindo o endereço do cliente. (Também não trazendo RODCs para esta discussão.)

Existem duas boas maneiras de descobrir de onde vêm as tentativas de logon com falha quando você tem vários controladores de domínio. Encaminhamento de eventos e as Ferramentas de bloqueio de conta da Microsoft.

Eu prefiro o encaminhamento de eventos para um local central. Encaminhar tentativas de logon com falha de todos os seus controladores de domínio para um servidor de log central. Então você só tem um lugar para procurar falhas no seu domínio inteiro. Na verdade, eu pessoalmente não amo muito as ferramentas de bloqueio de conta da Microsoft, então agora há um bom caminho.

Encaminhamento de eventos. Você vai adorar.

Assuming the infrastructure is pure, standard Windows with no additional management tool and few changes from default is there any way the process of finding the cause of such lockout could be accelerated or improved?

Veja acima. Você pode então ter seu sistema de monitoramento, como o SCOM ou o Nagios ou o que você usar, vasculhar esse único registro de evento e explodir o seu celular com mensagens de texto ou qualquer outra coisa. Não fica mais acelerado do que isso.

What could be done to improve the resilient of the system against such an account lockout DOS?

  1. Educação do usuário. Diga-lhes para parar de configurar os serviços do Windows para serem executados em suas contas de usuário de domínio, faça logoff das sessões RDP quando elas forem concluídas, ensine-as a limpar a Segurança de Credenciais do Windows das senhas armazenadas em cache do Outlook etc.
  2. Use as Contas de serviço gerenciadas onde você pode fazer com que os usuários não precisem mais gerenciar senhas para essas contas de usuário. Usuários estragam tudo. Se você der uma escolha ao usuário, ele sempre fará a escolha errada. Então não lhes dê uma escolha.
  3. Impondo tempos limite de sessão remota por meio do GPO. Se um usuário estiver ocioso em uma sessão RDP por 6 horas, inicie-o.
por 22.10.2013 / 14:50
3

Tivemos o mesmo problema ao limpar as contas de administrador em um ambiente maior há algum tempo. Embora os logs de auditoria de DCs forneçam tecnicamente as informações necessárias, decidimos implementar o produto ADAudit Plus da ManageEngine, que verifica esses logs e procura por tentativas de logon, juntamente com quaisquer alterações no AD. Usando um recurso de relatório embutido e um pouco de trabalho do Excel, pudemos rastrear (muito facilmente) de onde os logons vieram. No nosso caso, foi principalmente relacionado a administradores que usaram contas de administrador em vez de contas de serviço ao implementar vários aplicativos.

    
por 22.10.2013 / 11:51
3

What could be done to improve the resilient of the system against such an account lockout DOS?

Você não pode.

Há muitas coisas que podem destruir sua casa. Como um código simples para solicitar repetidamente endereços IP até que o escopo DHCP esteja esgotado. Ou código simples que cria diretórios até que a MFT esteja cheia e você tenha que reformatar sua partição para restaurá-la. Você não pode proteger contra tudo.

Um cenário mais comum com bloqueios são as pessoas que inserem suas credenciais em uma variedade muito maior de dispositivos do que era comum há alguns anos. Como impressoras (para varreduras de e-mail) ou um smartphone ou tablet. Se eles esquecerem de onde inseriram suas credenciais ou se não tiverem mais acesso ao dispositivo, é possível que o dispositivo continue a tentar a autenticação para sempre. O email auth é um vetor difícil de rastrear esses dispositivos e, mesmo que você o faça, o usuário pode não ter acesso a ele ou saber onde está. IP 10.4.5.27? Eu sei de um usuário que tinha que ligar para o help desk todos os dias para desbloquear sua conta, então eles iriam se conectar imediatamente, e então sua conta seria bloqueada novamente. Eles fizeram isso por meses. Eu disse a eles para que sua conta fosse renomeada.

A vida tem desincentivos, não podemos remover todos eles.

    
por 22.10.2013 / 12:01