none
Блокирование учетных записей RRS feed

  • Вопрос

  • Доброго времени суток!

    Столкнулся со следующей проблемой:
    Периодически блокируются учетные записи пользователей. Через какое-то время блокировка сама-собой снимается.

    Система: PDC - Win2k8 Std
    BDC - 3 x Win2k3 Std

    В системе также установлено много приложений, которые для авторизации используют AD.

    P.S. С журналах ничего подозрительного не обнаружил.

    С уважением,
    Александр Щербаков
    • Перемещено Kathy Sun 23 апреля 2012 г. 5:29 merge forums (От:Windows Server 2008)
    19 февраля 2009 г. 7:40

Ответы

  • Нашел причину. Оказалось что в системе поселился злобный вирус Confickrer (Kido). Он как раз и занимается блокированием учетных записей. Сейчас активно с ним борюсь, но пока результаты неудовлетворительные.
    Александр Щербаков
    • Помечено в качестве ответа Alexander Trofimov 25 февраля 2009 г. 11:12
    21 февраля 2009 г. 11:21

Все ответы

  • Имеется в виду это "There may be too many failed logon attempts" http://technet.microsoft.com/en-us/library/cc719776.aspx ?

    Какая-то программа пытается неправильно аутентифицироваться в домене, например Outlook http://techrepublic.com.com/5208-11190-0.html?forumID=40&threadID=202075&messageID=2552959


    Сазонов Илья http://www.itcommunity.ru/blogs/sie/
    19 февраля 2009 г. 9:46
    Модератор
  • Проверил тот скрипт - все равно блокируются. А можно как-нибудь посмотреть источник, с которого исходят попытки неправильного набора пароля?
    Александр Щербаков
    19 февраля 2009 г. 10:26
  • Прогнал анализатором логов с фильтром по 539 ошибке - видимо на некоторых компах поселился вирус. Только непоянтно, почему антивирусные программы его не видят.
    Вот пример сбоя аудита:

    Имя журнала:   Security
    Подача:        Microsoft-Windows-Security-Auditing
    Дата:          19.02.2009 15:55:09
    Код события:   4625
    Категория задачи:Вход в систему
    Уровень:       Сведения
    Ключевые слова:Сбой аудита
    Пользователь:  Н/Д
    Компьютер:     pdc.SUNRISE.local
    Описание:
    Учетной записи не удалось выполнить вход в систему.

    Субъект:
     ИД безопасности:  NULL SID
     Имя учетной записи:  -
     Домен учетной записи:  -
     Код входа:  0x0

    Тип входа:   3

    Учетная запись, которой не удалось выполнить вход:
     ИД безопасности:  NULL SID
     Имя учетной записи:  iga
     Домен учетной записи:  SUNRISE

    Сведения об ошибке:
     Причина ошибки:  Неизвестное имя пользователя или неверный пароль.
     Состояние:   0xc000006d
     Подсостояние:  0xc000006a

    Сведения о процессе:
     Идентификатор процесса вызывающей стороны: 0x0
     Имя процесса вызывающей стороны: -

    Сведения о сети:
     Имя рабочей станции: VIDEOPERM1
     Сетевой адрес источника: 192.168.1.94
     Порт источника:  1908

    Сведения о проверке подлинности:
     Процесс входа:  NtLmSsp
     Пакет проверки подлинности: NTLM
     Промежуточные службы: -
     Имя пакета (только NTLM): -
     Длина ключа:  0

    Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

    Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
     - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
     - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
     - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
        <EventID>4625</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>12544</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8010000000000000</Keywords>
        <TimeCreated SystemTime="2009-02-19T10:55:09.187Z" />
        <EventRecordID>11786497</EventRecordID>
        <Correlation />
        <Execution ProcessID="600" ThreadID="688" />
        <Channel>Security</Channel>
        <Computer>pdc.SUNRISE.local</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="SubjectUserSid">S-1-0-0</Data>
        <Data Name="SubjectUserName">-</Data>
        <Data Name="SubjectDomainName">-</Data>
        <Data Name="SubjectLogonId">0x0</Data>
        <Data Name="TargetUserSid">S-1-0-0</Data>
        <Data Name="TargetUserName">iga</Data>
        <Data Name="TargetDomainName">SUNRISE</Data>
        <Data Name="Status">0xc000006d</Data>
        <Data Name="FailureReason">%%2313</Data>
        <Data Name="SubStatus">0xc000006a</Data>
        <Data Name="LogonType">3</Data>
        <Data Name="LogonProcessName">NtLmSsp </Data>
        <Data Name="AuthenticationPackageName">NTLM</Data>
        <Data Name="WorkstationName">VIDEOPERM1</Data>
        <Data Name="TransmittedServices">-</Data>
        <Data Name="LmPackageName">-</Data>
        <Data Name="KeyLength">0</Data>
        <Data Name="ProcessId">0x0</Data>
        <Data Name="ProcessName">-</Data>
        <Data Name="IpAddress">192.168.1.94</Data>
        <Data Name="IpPort">1908</Data>
      </EventData>
    </Event>


    Александр Щербаков
    19 февраля 2009 г. 11:20
  • Нашел причину. Оказалось что в системе поселился злобный вирус Confickrer (Kido). Он как раз и занимается блокированием учетных записей. Сейчас активно с ним борюсь, но пока результаты неудовлетворительные.
    Александр Щербаков
    • Помечено в качестве ответа Alexander Trofimov 25 февраля 2009 г. 11:12
    21 февраля 2009 г. 11:21