Evento de segurança "Conta bloqueada" à meia-noite

Navegue suas respostas
5

Nas últimas três noites recebi uma identificação de evento 539 no log ... sobre minha própria conta: 

Event Type: Failure Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:   539
Date:       2010-04-26
Time:       12:00:20 AM
User:       NT AUTHORITY\SYSTEM
Computer:   SERVERNAME
Description:
Logon Failure:
    Reason:     Account locked out
    User Name:  MyUser
    Domain: MYDOMAIN
    Logon Type: 3
    Logon Process:  NtLmSsp 
    Authentication Package: NTLM
    Workstation Name:   SERVERNAME
    Caller User Name:   -
    Caller Domain:  -
    Caller Logon ID:    -
    Caller Process ID: -
    Transited Services: -
    Source Network Address: -
    Source Port:    -

Está sempre a meio minuto da meia-noite. Não há tentativas de login antes. Logo após (no mesmo segundo) há uma entrada de auditoria de sucesso: 

Logon attempt using explicit credentials:
 Logged on user:
    User Name:  SERVERNAME$
    Domain:     MYDOMAIN
    Logon ID:       (0x0,0x3E7)
    Logon GUID: -
 User whose credentials were used:
    Target User Name:   MyUser
    Target Domain:  MYDOMAIN
    Target Logon GUID: -

 Target Server Name:    servername.mydomain.lan
 Target Server Info:    servername.mydomain.lan
 Caller Process ID: 2724
 Source Network Address:    -
 Source Port:   -

O ID do processo era o mesmo em todos os três, então eu procurei e agora, pelo menos, ele mapeia para o TCP / IP Services (Microsoft).

Eu não acredito que tenha alterado nenhuma política ou algo assim na sexta-feira. Como devo interpretar isso?

    
por Kev 26.04.2010 / 15:03

4 respostas

1

Você tem uma tarefa de agendamento que é executada em sua conta que se conecta a um compartilhamento à meia-noite? A identificação de evento 552 (o segundo evento) geralmente é gerada quando um usuário (nesse caso, o sistema) usa runas para executar um processo como outra conta.

No entanto, em um exame mais detalhado, o ID de Logon: (0x0,0x3E7) - mostra que um serviço é aquele que faz a representação. Dê uma olhada nos serviços da máquina. Você também pode obter isso se outra máquina estiver mapeando uma unidade com suas credenciais e as credenciais salvas expirarem. Desde que o serviço foi tcpip é onde eu estou apostando meu níquel agora.

    
por 26.04.2010 / 16:13
7

Os bloqueios de contas podem ser problemáticos para solucionar problemas. Minha primeira recomendação seria obter as Ferramentas de bloqueio de conta da Microsoft.

Usando essas ferramentas, você pode descobrir quais dos seus CDs realmente estão bloqueando a conta. A partir daí, você precisará fazer uma verificação no log de segurança para descobrir qual servidor está causando o bloqueio, e descobrir o que está bloqueando sua conta.

    
por 26.04.2010 / 15:28
1

É provável que seja um evento automatizado, como um serviço sendo executado com suas credenciais. Entre no servidor e classifique services.msc pelo campo Logon As e veja se você está lá.

    
por 26.04.2010 / 15:08
0

Você pode ter instalado um programa ou serviço com seu ID de usuário. Muito provavelmente, estes são softwares de backup ou qualquer serviço / tarefa similar. Você não pode encontrar todas as tarefas esquematizadas de "Tarefas agendadas", rever seus serviços automatizados, IIS, Backup Exec, etc.

    
por 27.05.2010 / 19:29

Tags

Ubuntu / Veja o histórico de reinicializações Servidor com 3 discos, qual é a melhor configuração HD?