none
Блокируется аккаунт RRS feed

  • Вопрос

  • Добрый день.

    Есть один пользователь, у которого каждые 10-14 дней блокируется учетная запись. Попытки выяснить почему это происходит не увенчались успехом. Последний блок был вчера, сейчас учетку уже разблокировали. 

    Я пробовал использовать Account Lockout Status tools from Microsoft, он показал Bad Pwd Count 1 и время неправильного ввода примерно совпадает с тем временем, когда учетка была заблокирована. Но у нас по политике блокировка происходит после 5 неправильных вводов.

    Фильтр событий безопасности по учётке юзера показывает 0 записей и я так понял что в логах безопасности такой результат будет для любой учетки.

    Как можно еще отследить события, после которых происходит блокировка?

    15 марта 2019 г. 6:47

Ответы

  • В общем всё оказалось немного странно, но просто.

    Учетки не блокировались - у них истекал пароль. Несколько недель назад в компании была принудительная смена паролей пользователей и всем принудительно пришлось выставить параметр $PasswordNeverExpires $False. Потому что с ним нельзя одновременно включить User must change password at next logon.

    У большинства пользователей после смены пароля дата истечения стала пустой, что может быть равнозначно бессрочному паролю, либо необходимости смены при следующем входе. но у некоторых почему то установилось 29е число этого или следующего месяца. Это странно, потому что вручную задать срок истечения пароля нельзя, только срок действия самой учетной записи. 

    Разбираться почему так произошло нет времени. Но для решения достаточно просто поставить флаг $PasswordNeverExpires $False. 


    • Помечено в качестве ответа Валера2 25 марта 2019 г. 11:00
    • Изменено Валера2 25 марта 2019 г. 11:01
    25 марта 2019 г. 11:00

Все ответы

  • попробуйте Netwrix Account Lockout Examiner
    15 марта 2019 г. 6:49
  • упомянутой тулзой посмотрите вседующий раз на всех контроллерах информацию если вы это делали только на одном


    The opinion expressed by me is not an official position of Microsoft

    15 марта 2019 г. 6:58
    Модератор
  • В событиях Security на КД обычно указан источник блокировки, если там фигурирует просто Workstation, то это либо недоменное устройство (например вы к wi-fi подключаетесь на макбуке под доменной УЗ), либо планшет/телефон - это можно проверить в логах ActiveSync/IIS.
    15 марта 2019 г. 6:59
  • Она сама проверяет на всех доступных контроллерах.  Или вы про Netwrix Account Lockout Examiner?
    15 марта 2019 г. 7:06
  • Еще один странный момент в том, что я не вижу события блокировки записи. Событий с кодом 4770 ни на одном КД нет. Событие неправильно ввода пароля только одно.
    15 марта 2019 г. 7:08
  • Она сама проверяет на всех доступных контроллерах. 

    что она проверяет?

    на каждом кд свой журнал + возможны варианты с синхронизациями кд и локальные параметры тулза читает локально


    The opinion expressed by me is not an official position of Microsoft

    15 марта 2019 г. 7:09
    Модератор
  • Не похоже что локально. Вот я её запустил со своего рабочего компьютера

    Получил список контроллеров и события неправильного ввода. Зашел на первый контроллер и в 15:08:35 нашел событие неверного ввода именно по тому юзеру, с которым есть проблема.

    15 марта 2019 г. 7:22
  • 1. Какой источник блокировки указан в самом событии?

    2. Что у вас с политикой паролей? 2 года назад установлен пароль и не менялся с тех пор? Или это сервисная УЗ?

    15 марта 2019 г. 7:39
  • В логах я нашел два события по этому пользователю, в 15:08:35:

    1) ID 4776 Credential validation

    The computer attempted to validate the credentials for an account.

    Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Logon Account: smirnova_e
    Source Workstation: DC1
    Error Code: 0xC000006A

    2) ID 4625 Logon

    An account failed to log on.

    Subject:
    Security ID: SYSTEM
    Account Name: DC1$
    Account Domain: DOMAIN
    Logon ID: 0x3E7

    Logon Type: 3

    Account For Which Logon Failed:
    Security ID: NULL SID
    Account Name: smirnova_e
    Account Domain: DOMAIN

    Failure Information:
    Failure Reason: Unknown user name or bad password.
    Status: 0xC000006D
    Sub Status: 0xC000006A

    Process Information:
    Caller Process ID: 0x1e0
    Caller Process Name: C:\Windows\System32\lsass.exe

    Network Information:
    Workstation Name: DC1
    Source Network Address: 10.199.5.2
    Source Port: 36543

    Detailed Authentication Information:
    Logon Process: Advapi  
    Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Transited Services: -
    Package Name (NTLM only): -
    Key Length: 0

    Кроме этого других сообщений не нашлось. И, как я писал выше, события 4770 (это же событие блока, верно?) в логе нет.

    Пароль последний раз меняли 2 года назад. Сейчас еще раз проверил политику блокировки, стоит 0 (изменение было недавно в связи с массовой сменой паролей, раньше стояло 5 попыток). То есть это точно не блокировка из-за неверного ввода.

    Остается вариант что кто-то из администраторов зачем то блокирует учетку. Это можно как-то отследить? Вообще может есть смысле повысить уровень логирования или того, что по умолчанию, должно быть достаточно?


    15 марта 2019 г. 8:31
  • В общем всё оказалось немного странно, но просто.

    Учетки не блокировались - у них истекал пароль. Несколько недель назад в компании была принудительная смена паролей пользователей и всем принудительно пришлось выставить параметр $PasswordNeverExpires $False. Потому что с ним нельзя одновременно включить User must change password at next logon.

    У большинства пользователей после смены пароля дата истечения стала пустой, что может быть равнозначно бессрочному паролю, либо необходимости смены при следующем входе. но у некоторых почему то установилось 29е число этого или следующего месяца. Это странно, потому что вручную задать срок истечения пароля нельзя, только срок действия самой учетной записи. 

    Разбираться почему так произошло нет времени. Но для решения достаточно просто поставить флаг $PasswordNeverExpires $False. 


    • Помечено в качестве ответа Валера2 25 марта 2019 г. 11:00
    • Изменено Валера2 25 марта 2019 г. 11:01
    25 марта 2019 г. 11:00