Minha conta do usuário fica permanentemente bloqueada por alguém

Navegue suas respostas
1

Minha conta de administrador em nosso Datacenter está permanentemente bloqueada e eu tenho que desbloqueá-la novamente e novamente com nosso Administrador geral do Datacenter. Eu quero que ele pare, mas eu não sei quem bloqueia minha conta e em qual máquina isso acontece.

Temos vários Servidores Server 2003, 2008 e 2008 R2 em nosso Datacenter. Nossos 3 controladores de domínio estão rodando 2 x Server 2008 e 1 x Server 2008 R2.

Como posso rastrear de qual cliente, em qual servidor meu usuário foi permanentemente bloqueado?

Atualização: com LockOutStatus.exe Descobri que o último tempo de bloqueio era 13:19. Neste momento, eu tenho o EventID 4771 logado em nosso controlador de domínio. Ele informa o endereço do cliente de um dos nossos servidores de terminal com o nome de serviço "krbtgt / domain" código de falha 0x18 e tipo de pré-autenticação 2.

Eu procurei por erros naquele servidor de terminais, mas não encontrei alguns relacionados ao Kerberos. Eu encontrei erros relacionados ao GPO no Systemlog desse terminalerver: EventID 1006 com ErrorCode 49. Na verdade eu estava logado neste Terminalserver desta vez. Mas não amanhã. Este não será o "erro de raiz". Alguma coisa o que fazer para encontrar o problema?

Atualização / solução: Havia 4 sessões em alguns servidores onde meu usuário estava logado (mas desconectado) usando credenciais antigas. Eu usei o LockOutStatus.exe para encontrar a hora em que meu usuário foi bloqueado pela última vez. Em seguida, examinei os logs de segurança e localizei um Event com ID 4771 que contém o IP do cliente que fez com que meu usuário bloqueasse. Saí da sessão, desbloqueei minha conta de usuário e esperei a próxima sessão / servidor bloquear meu usuário. Eu repeti isso até que meu usuário não foi bloqueado novamente.

Obrigado por suas boas respostas e dicas:)

    
por wullxz 17.05.2011 / 12:26

3 respostas

2

É possível que você tenha uma sessão desconectada com sua conta de usuário nesse servidor? Se você alterou recentemente sua senha, todas as sessões desconectadas, mas ativas, em um servidor / estação de trabalho podem resultar em algo parecido.

Se não:

Eu tentaria ativar o rastreamento de processo, além do acompanhamento de logon. Isso permitirá que você veja qual processo foi iniciado no momento em que a falha de logon e, finalmente, o bloqueio ocorreu.

No Win2k8, esses IDs de evento são 4688 quando um processo é iniciado e 4689 quando o processo é encerrado. Decifrando isso pode ser um pouco complicado.

Você pode tentar instalar uma versão de avaliação do EventSentry (que é afiliado a), que normaliza os dados de logon e de processo e os armazena em um banco de dados para facilitar a busca. Por exemplo, você pode ver quais processos estavam em execução no momento, pesquisar eventos de logon em vários servidores e assim por diante. No entanto, configurar o EventSentry apenas para esse propósito pode ser um exagero.

Você verificou suas tarefas agendadas para garantir que nenhuma tarefa seja configurada na sua conta de usuário?

    
por 17.05.2011 / 16:54
4

Supondo que você esteja trabalhando em um domínio do AD, é possível habilitar a auditoria de logon da conta no GPO de Domínio Padrão. Isso permitirá a auditoria em todos os computadores e permitirá que você rastreie o que está acontecendo. Depois de encontrar as entradas de registro relevantes, você pode verificar o tipo de login para tentar determinar o que está acontecendo.

link

    
por 17.05.2011 / 14:33
1

eu escrevi uma entrada de blog sobre isso há algum tempo, poderia lhe dar algumas dicas -

    
por 17.05.2011 / 15:16

Tags

É possível o SSH ser um servidor remoto usando 2 chaves privadas diferentes para o mesmo usuário? SSL: "segurança ponto a ponto" vs "segurança fim a fim"?