none
Sécurité des comptes utilisateurs/Verrouillage en cas de mot de passe erroné RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    Voici mon problème.
    J'ai paramétré la stratégie de verrouillage des comptes sur 3 tentatives et 30 minutes sur durée et réinitialiser après.
    Ceci dans le cadre de l'utilisation du bureau à distance, ayant remarqué des tentatives d'intrusion bloquées par norton.
    Je me suis retrouvé avec le compte bloqué par suite de mot de passe erroné mais sur une longue période (plusieurs mois).
    Il me semble évident que le compteur ne s'était pas remis à zéro après mdp accidentellement erroné.
    J'ai essayé de débloquer le compte en décochant 'compte bloqué'/appliquer/ok mais il se rebloque derrière.
    Seule solution : mettre le seuil de verrouillage à zéro et ensuite débloquer le compte.
    MAIS : si je reprogramme la sécurité, le compte se rebloque ! Tout se passe comme si ce compteur ne se réinitialisait jamais.
    Merci de vos lumières.

    Contexte : Win 10 Pro 64bits 100% à jour / Protection par Norton 

    vendredi 12 février 2021 15:09
    |

Réponses

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    bonsoir
    ça ressemble à une attaque récurente ou à un periphérique style téléphone qui continuerai à utiliser des crédentials expirés.

    tu peux chercher les évenements 4740 sur les DCs ( normalement c'est le PDC qui verrouille les comptes mais si les demandes arrivent en rafale c'est le Dc qui atteint le premier la limite qui semble le verrouiller).
    l'evenement 4740 devrait t'indiquer de quelle station vient le verrouillage

    la station ou l'exchange si c'est via une boite aux lettres) que le compte est verrouillé.

    vendredi 12 février 2021 18:10
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Hello,

    Merci de la réponse.
    J'ai consulté le journal des évènements/journaux windows/sécurité et j'ai un paquet de 4625

    En y regardant de plus près, il y a plusieurs adresses ip différentes qui tentent de se logger en utilisant admin, administrateur, user, etc...
    Bref, un tdc qui s'amuse j'imagine
    Les attaques proviendraient d'allemagne et roumanie.

    Ce qui n'explique toujours pas, puisque j'ai mis des noms d'utilisateurs 'tordus' et il n'y a plus d'échec d'ouverture de session sur le compte concerné.

    Échec de l’audit 13/02/2021 14:59:54 Microsoft Windows security auditing. 4625 Logon

    Nom du journal :Security
    Source :       Microsoft-Windows-Security-Auditing
    Date :         13/02/2021 14:59:54
    ID de l’événement :4625
    Catégorie de la tâche :Logon
    Niveau :       Information
    Mots clés :    Échec de l’audit
    Utilisateur :  N/A
    Ordinateur :   MUMU-HP
    Description :
    Échec d’ouverture de session d’un compte.

    Sujet :
    ID de sécurité : NULL SID
    Nom du compte : -
    Domaine du compte : -
    ID d’ouverture de session : 0x0

    Type d’ouverture de session : 3

    Compte pour lequel l’ouverture de session a échoué :
    ID de sécurité : NULL SID
    Nom du compte : TEST
    Domaine du compte :

    Informations sur l’échec :
    Raison de l’échec : Nom d’utilisateur inconnu ou mot de passe incorrect.
    État : 0xC000006D
    Sous-état : 0xC0000064

    Informations sur le processus :
    ID du processus de l’appelant : 0x0
    Nom du processus de l’appelant : -

    Informations sur le réseau :
    Nom de la station de travail : -
    Adresse du réseau source : 185.127.237.148
    Port source : 0

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : NtLmSsp 
    Package d’authentification : NTLM
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de clé : 0

    Cet événement est généré lorsqu’une demande d’ouverture de session échoue. Il est généré sur l’ordinateur sur lequel l’accès a été tenté.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui a été demandé. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Les champs relatifs aux informations sur le processus indiquent quel est le compte et le processus sur le système qui ont demandé l’ouverture de session.

    Les champs relatifs aux informations sur le réseau indiquent la provenance de la demande d’ouverture de session distante. Le nom de la station de travail n’étant pas toujours disponible, peut rester vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Le nom du package indique quel a été le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    XML de l’événement :
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
        <EventID>4625</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>12544</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8010000000000000</Keywords>
        <TimeCreated SystemTime="2021-02-13T13:59:54.8343659Z" />
        <EventRecordID>12348870</EventRecordID>
        <Correlation ActivityID="{22f77fa0-009b-0004-c17f-f7229b00d701}" />
        <Execution ProcessID="440" ThreadID="12236" />
        <Channel>Security</Channel>
        <Computer>MUMU-HP</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="SubjectUserSid">S-1-0-0</Data>
        <Data Name="SubjectUserName">-</Data>
        <Data Name="SubjectDomainName">-</Data>
        <Data Name="SubjectLogonId">0x0</Data>
        <Data Name="TargetUserSid">S-1-0-0</Data>
        <Data Name="TargetUserName">TEST</Data>
        <Data Name="TargetDomainName">
        </Data>
        <Data Name="Status">0xc000006d</Data>
        <Data Name="FailureReason">%%2313</Data>
        <Data Name="SubStatus">0xc0000064</Data>
        <Data Name="LogonType">3</Data>
        <Data Name="LogonProcessName">NtLmSsp </Data>
        <Data Name="AuthenticationPackageName">NTLM</Data>
        <Data Name="WorkstationName">-</Data>
        <Data Name="TransmittedServices">-</Data>
        <Data Name="LmPackageName">-</Data>
        <Data Name="KeyLength">0</Data>
        <Data Name="ProcessId">0x0</Data>
        <Data Name="ProcessName">-</Data>
        <Data Name="IpAddress">185.127.237.148</Data>
        <Data Name="IpPort">0</Data>
      </EventData>
    </Event>

    samedi 13 février 2021 14:54
    |

Toutes les réponses

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    bonsoir
    ça ressemble à une attaque récurente ou à un periphérique style téléphone qui continuerai à utiliser des crédentials expirés.

    tu peux chercher les évenements 4740 sur les DCs ( normalement c'est le PDC qui verrouille les comptes mais si les demandes arrivent en rafale c'est le Dc qui atteint le premier la limite qui semble le verrouiller).
    l'evenement 4740 devrait t'indiquer de quelle station vient le verrouillage

    la station ou l'exchange si c'est via une boite aux lettres) que le compte est verrouillé.

    vendredi 12 février 2021 18:10
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Hello,

    Merci de la réponse.
    J'ai consulté le journal des évènements/journaux windows/sécurité et j'ai un paquet de 4625

    En y regardant de plus près, il y a plusieurs adresses ip différentes qui tentent de se logger en utilisant admin, administrateur, user, etc...
    Bref, un tdc qui s'amuse j'imagine
    Les attaques proviendraient d'allemagne et roumanie.

    Ce qui n'explique toujours pas, puisque j'ai mis des noms d'utilisateurs 'tordus' et il n'y a plus d'échec d'ouverture de session sur le compte concerné.

    Échec de l’audit 13/02/2021 14:59:54 Microsoft Windows security auditing. 4625 Logon

    Nom du journal :Security
    Source :       Microsoft-Windows-Security-Auditing
    Date :         13/02/2021 14:59:54
    ID de l’événement :4625
    Catégorie de la tâche :Logon
    Niveau :       Information
    Mots clés :    Échec de l’audit
    Utilisateur :  N/A
    Ordinateur :   MUMU-HP
    Description :
    Échec d’ouverture de session d’un compte.

    Sujet :
    ID de sécurité : NULL SID
    Nom du compte : -
    Domaine du compte : -
    ID d’ouverture de session : 0x0

    Type d’ouverture de session : 3

    Compte pour lequel l’ouverture de session a échoué :
    ID de sécurité : NULL SID
    Nom du compte : TEST
    Domaine du compte :

    Informations sur l’échec :
    Raison de l’échec : Nom d’utilisateur inconnu ou mot de passe incorrect.
    État : 0xC000006D
    Sous-état : 0xC0000064

    Informations sur le processus :
    ID du processus de l’appelant : 0x0
    Nom du processus de l’appelant : -

    Informations sur le réseau :
    Nom de la station de travail : -
    Adresse du réseau source : 185.127.237.148
    Port source : 0

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : NtLmSsp 
    Package d’authentification : NTLM
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de clé : 0

    Cet événement est généré lorsqu’une demande d’ouverture de session échoue. Il est généré sur l’ordinateur sur lequel l’accès a été tenté.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui a été demandé. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Les champs relatifs aux informations sur le processus indiquent quel est le compte et le processus sur le système qui ont demandé l’ouverture de session.

    Les champs relatifs aux informations sur le réseau indiquent la provenance de la demande d’ouverture de session distante. Le nom de la station de travail n’étant pas toujours disponible, peut rester vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Le nom du package indique quel a été le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    XML de l’événement :
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
        <EventID>4625</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>12544</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8010000000000000</Keywords>
        <TimeCreated SystemTime="2021-02-13T13:59:54.8343659Z" />
        <EventRecordID>12348870</EventRecordID>
        <Correlation ActivityID="{22f77fa0-009b-0004-c17f-f7229b00d701}" />
        <Execution ProcessID="440" ThreadID="12236" />
        <Channel>Security</Channel>
        <Computer>MUMU-HP</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="SubjectUserSid">S-1-0-0</Data>
        <Data Name="SubjectUserName">-</Data>
        <Data Name="SubjectDomainName">-</Data>
        <Data Name="SubjectLogonId">0x0</Data>
        <Data Name="TargetUserSid">S-1-0-0</Data>
        <Data Name="TargetUserName">TEST</Data>
        <Data Name="TargetDomainName">
        </Data>
        <Data Name="Status">0xc000006d</Data>
        <Data Name="FailureReason">%%2313</Data>
        <Data Name="SubStatus">0xc0000064</Data>
        <Data Name="LogonType">3</Data>
        <Data Name="LogonProcessName">NtLmSsp </Data>
        <Data Name="AuthenticationPackageName">NTLM</Data>
        <Data Name="WorkstationName">-</Data>
        <Data Name="TransmittedServices">-</Data>
        <Data Name="LmPackageName">-</Data>
        <Data Name="KeyLength">0</Data>
        <Data Name="ProcessId">0x0</Data>
        <Data Name="ProcessName">-</Data>
        <Data Name="IpAddress">185.127.237.148</Data>
        <Data Name="IpPort">0</Data>
      </EventData>
    </Event>

    samedi 13 février 2021 14:54
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour Mr_Boulier

    Je pense également  comme F. Dunoyer : Je verrais très bien un service sur une ou plusieurs machines qui chercherait à démarrer avec un compte de domaine ... dont le mot de passe a changé. Ca ne serait pas la première fois que cela se produirait. Tant qu'il y aura des personnes pour utiliser des comptes d'administration pour faire tourner des services Windows au lieu d'utiliser des GMSA ou pour les cas ou cela n'est pas possible, des comptes dédiés pour cela, ... cela se reproduira.

    Cordialement

    Olivier

    dimanche 14 février 2021 14:55
    |