O que está fazendo com que meu controlador de domínio registre dezenas de tentativas de autenticação bem-sucedidas por segundo?

8

Temos um domínio com cerca de 15 servidores e cerca de 30 estações de trabalho. Os servidores são principalmente 2008r2 e as estações de trabalho são principalmente o Windows 7. Os dois DCs são 2012r2. A cada poucas semanas, uma das nossas contas de administrador é bloqueada. Estou tentando diminuir a causa e cheguei a um beco sem saída.

Aqui está o que eu tenho.

O log de eventos no PDC mostra o evento 4776 - sucesso da auditoria:

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account:  username
Source Workstation: 
Error Code: 0x0

Tudo pelo mesmo nome de usuário e recorrendo várias vezes por segundo.

Com base nos IDs do evento, esses são logins NTLM em vez de Kerberos. Embora o tipo de autenticação usado seja menos preocupante para mim do que a quantidade de cisalhamento. Isso acontece várias vezes por segundo e se repete a cada dois segundos ad infinitum, todas as horas dia, noite ou fim de semana.

O log de eventos também mostra os IDs de eventos de sucesso de auditoria 4624 (logon) e 4634 (logoff) para esse nome de usuário, mas, como no caso acima, o campo "estação de trabalho" está vazio.

Eu habilitei o log de netlogon detalhado e o netlogon.log mostra

02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation1) Entered
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation1) Returns 0x0
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Entered
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server1) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server1) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server2) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server2) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation3) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation3) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation4) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation5) Entered
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation4) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation5) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server3) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server3) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server4) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server4) Returns 0x0

E assim por diante e assim por diante. A fonte aparente desses logins (via XYZ) pode incluir estações de trabalho e servidores de toda a rede.

É evidente que isso parece uma automação ou script. Como os logins geralmente são bem-sucedidos, não acredito que seja uma tentativa de invasão. Alguns dos logins, no entanto, falham de tempos em tempos, mas eu não identifiquei nenhum padrão para a falha e eles ocorrem tão raramente que (na maioria dos dias) eles não bloqueiam a conta. O código de falha quando há um é geralmente 0xc0000022 (acesso negado)

Eu desativei e desinstalei nosso agente de monitoramento remoto (atualmente Kaseya, mas finalmente estamos mudando para a LabTech) de um dos servidores, mas ainda assim vimos novos eventos originados desse servidor, portanto, isso exclui as tarefas de automação. Também verifiquei o agendador de tarefas em alguns servidores e não encontrei nada fora do comum. Eu verifiquei os serviços para verificar as contas de logon e essa conta não é usada em nenhum serviço.

Corri o Netstat por um bom tempo e vi basicamente conexões com o PDC de "System" e "System Idle Process". Eu vi conexões ocasionais de spoolsrv e lsass e ismserv (o servidor que estou testando é um servidor Citrix XenApp, mas outros servidores de "origem" não estão no farm XenApp e, é claro, estações de trabalho de "origem" também não estão). Parei o serviço de spooler de impressão apenas para testar e não teve impacto nos eventos de login.

Eu trabalho em um MSP e esta é nossa principal conta de administrador técnico, por isso é alta prioridade que esteja funcionando e seja seguro. A última idéia que me resta é alterar a senha e ver o que quebra, mas sem saber o que a conta está sendo usada para isso poderia ter consequências potencialmente catastróficas. No entanto, minha suspeita é que isso pode ser apenas um AD configurado incorretamente.

Alguém já experimentou algo assim antes e foi capaz de identificar a fonte?

    
por Thomas 01.03.2017 / 02:29

0 respostas