Deixe-me começar com alguns detalhes sobre o meu ambiente:
Ultimamente recebi relatórios de contas de usuários de domínio bloqueadas devido a tentativas excessivas de falha de login. Eu recebi relatórios deste problema de usuários usando duas máquinas diferentes, ambos Win 7 Pro x64. Gostaria apenas de desbloquear sua conta e deixá-los a caminho, mas às vezes a conta é imediatamente bloqueada e às vezes o usuário fica bloqueado durante a noite, todas as noites causando algum caos. Devido a esse problema, configurei o Limite de bloqueio de conta como 0 em nossa Política de bloqueio do servidor SBS, para que os usuários possam trabalhar sem interrupção enquanto eu descubro isso.
Ao fazer algumas pesquisas sobre esse problema, descobri que quando a senha de um usuário é alterada, suas credenciais antigas são armazenadas em algum lugar e estão sendo usadas por um processo ou serviço que causa falhas de auditoria, mas os Usuários em questão têm não mudou sua senha em um longo tempo.
Portanto, estou verificando logs de eventos em uma das estações de trabalho em questão e estou descobrindo que eventos de falha de auditoria para um número de usuários ocorrem a cada segundo, aproximadamente. Um dos usuários usa o computador regularmente via Área de Trabalho Remota, mas os outros três são um pouco estranhos de se ver. Um dos outros três não acessa esta máquina que eu conheço e os outros dois usuários não existem . Um dos usuários inexistentes tem o nome de usuário do nosso nome de domínio e o outro é chamado DENTAL .... Na outra máquina em que outro usuário estava constantemente desconectado, eu vi todos os tipos de nomes de usuário estranhos e inexistentes sendo listados nos eventos (eram nomes reais, mas não nomes de usuários do nosso domínio. como bob, jenny, garry etc.).
A linha do tempo do Log de Eventos de Segurança é semelhante a essa, todos os dias, todos os dias: Falhas de Auditoria
Aqui estão os detalhes completos do evento para o usuário inexistente (o único usuário conectado ao seu computador é o Administrador do Domínio):
-System -Provider [ Name] Microsoft-Windows-Security-Auditing [ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D} EventID 4625 Version 0 Level 0 Task 12544 Opcode 0 Keywords 0x8010000000000000 -Time Created [ SystemTime] 2017-03-16T18:23:08.864151000Z EventRecordID 9068892 Correlation -Execution [ ProcessID] 560 [ ThreadID] 1364 Channel Security Computer *xxxx.domain.lan* Security -EventData SubjectUserSid S-1-0-0 SubjectUserName - SubjectDomainName - SubjectLogonId 0x0 TargetUserSid S-1-0-0 TargetUserName DENTAL TargetDomainName Status 0xc000006d FailureReason %%2313 SubStatus 0xc0000064 LogonType 3 LogonProcessName NtLmSsp AuthenticationPackageName NTLM WorkstationName TransmittedServices - LmPackageName - KeyLength 0 ProcessId 0x0 ProcessName - IpAddress - IpPort -
Para todos e cada um desses eventos (EventID 4625), há um evento correspondente (EventID 4776) com o mesmo TargetUserName.
Toda e qualquer ajuda e / ou conselho dado aqui será muito apreciado. Por favor, deixe-me saber se há alguma outra informação que eu deveria fornecer, os registros de eventos que você gostaria de ver etc.
Obrigado antecipadamente!
