none
Постоянно блокируются учетная запись в AD RRS feed

  • Вопрос

  • В последние дни наблюдаю возросшую блокировку учетных записей в результате применения политики учетных записей в AD. Но с одним пользователем имею проблему. Учетная запись блокируется несколько раз за день. Провели антивирусную проверку, очистили кэш паролей, удалили все лишние программы. Но найти причину блокировки так и не смог. Использование утилиты Netwrix Account Lockout Examiner также не дало ответ на причины блокировки.

    До достижения предела числа сбойных попыток входа в журнале событий периодически регистрируется событие:

    Источник: Microsoft Windows security auditing.

    Категория: Проверка учетных данных

    ID: 4776

    Компьютер попытался проверить учетные данные учетной записи.

    Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Учетная запись входа: baranova
    Исходная рабочая станция: PC-BARANOVA3
    Код ошибки: 0xC000006A

    C000006A - ввод неверного пароля.

    Далее учетная запись блокируется. Регистрируется сообщение в журнале событий:

    Источник: Microsoft Windows security auditing.
    Категория: Управление учетными записями
    ID: 4740
    Заблокирована учетная запись пользователя.

    Субъект:
     Идентификатор безопасности:  СИСТЕМА
     Имя учетной записи:  SRV-AD1$
     Домен учетной записи:  SFH
     Идентификатор входа:  0x3E7

    Заблокированная учетная запись:
     Идентификатор безопасности:  SFH\Baranova
     Имя учетной записи:  Baranova

    Дополнительные сведения:
     Имя вызывающего компьютера: PC-BARANOVA3

    В дальнейшем до разблокировки учетной записи периодически регистрируется ошибка:

    Источник: Microsoft Windows security auditing.
    Категория: Проверка учетных данных
    ID: 4776
    Компьютер попытался проверить учетные данные учетной записи.

    Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Учетная запись входа: baranova
    Исходная рабочая станция: PC-BARANOVA3
    Код ошибки: 0xC0000234

    На рабочей станции (Windows 7 Pro SP1) в журнале регистрируется ошибка:

    Источник: Microsoft Windows security auditing.
    Категория: Вход в систему
    ID: 4625
    Учетной записи не удалось выполнить вход в систему.

    Субъект:
     ИД безопасности:  СИСТЕМА
     Имя учетной записи:  PC-BARANOVA3$
     Домен учетной записи:  SFH
     Код входа:  0x3e7

    Тип входа:   2

    Учетная запись, которой не удалось выполнить вход:
     ИД безопасности:  NULL SID
     Имя учетной записи:  Baranova
     Домен учетной записи:  SFH

    Сведения об ошибке:
     Причина ошибки:  Неизвестное имя пользователя или неверный пароль.
     Состояние:   0xc000006d
     Подсостояние:  0xc000006a

    Сведения о процессе:
     Идентификатор процесса вызывающей стороны: 0x298
     Имя процесса вызывающей стороны: C:\Windows\System32\winlogon.exe

    Сведения о сети:
     Имя рабочей станции: PC-BARANOVA3
     Сетевой адрес источника: 127.0.0.1
     Порт источника:  0

    Сведения о проверке подлинности:
     Процесс входа:  User32
     Пакет проверки подлинности: Negotiate
     Промежуточные службы: -
     Имя пакета (только NTLM): -
     Длина ключа:  0

    Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

    Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
     - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
     - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
     - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

    Обычно в статьях, посвященных поиску причин блокировки, указывается, что с помощью этого сообщения можно найти процесс или программу, приведшую к блокировке. Но в данном случае я вижу, что это - процесс winlogon.

    Может быть кто-нибудь кто-нибудь подскажет, как найти источник проблемы.

    21 октября 2016 г. 7:43

Ответы

  • После повторного внимательного просмотра нашел программу сетевого сканирования для сканера, которого уже не было. После ее удаления вроде все нормализовалось. Учетная запись не блокируется.

    Еще помониторю некоторое время.

    25 октября 2016 г. 8:21

Все ответы

  • Оставлю свой пост, тема интересная, по два раза в день блокируется моя учетная запись
    21 октября 2016 г. 8:23

  • Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Учетная запись входа: baranova
    Исходная рабочая станция: PC-BARANOVA3
    Код ошибки: 0xC000006A

    Здравствуйте,

    Не пробовали на указанном в событие ПК и с указанной учетной записи найти какие задачи выполняются?
    Например неудачные попытки захода на сетевые каталоги. Если указанный выше ПК выключить проблема с блокировки учетной записи повторяется?

    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 21 октября 2016 г. 9:06 добавлено
    21 октября 2016 г. 9:06
    Модератор
  • Как правило такое происходит в 2х случаях - брутфорс пароля зловредами или автологины в различных мегапрограммах.

    Если ситуация появилась после смены пароля - скорее всего имеете дело со вторым случаем.

    Самые частораспространенные места хранения пароля: шедульные задачи, сетевые диски, мегасофт по типу различных синхронизаторов, обработчиков документов и тд.

    Если найти проблему не получится и такая учетка одна, то самый простой вариант переименовать учетку в АД например на baranoval  (добавив или убрав букву имени)


    The opinion expressed by me is not an official position of Microsoft

    • Предложено в качестве ответа Vector BCOModerator 27 октября 2016 г. 13:45
    21 октября 2016 г. 9:07
    Модератор

  • Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Учетная запись входа: baranova
    Исходная рабочая станция: PC-BARANOVA3
    Код ошибки: 0xC000006A

    Здравствуйте,

    Не пробовали на указанном в событие ПК и с указанной учетной записи найти какие задачи выполняются?
    Например неудачные попытки захода на сетевые каталоги. Если указанный выше ПК выключить проблема с блокировки учетной записи повторяется?

    Best Regards, Andrei ...
    MCP

    В данном случае имела место попытка локального входа (тип входа=2). Так что это - не сетевые каталоги и не задачи в планировщике. А вот на автологины в мегапрограммах, про которые пишет Vector BCO - похоже: функция WinAPI LogonUser (самая старая для этого пригодная и потому лучше всего знакомая мегапрограммистам) даёт именно этот тип входа.

    PS А ещё этот тип входа внезапно использовал сервер FTP во времена XP/Win2K3 (и, может быть, продолжает использовать и в новых версиях Windows - как-то не пришлось проверять с тех пор).


    Слава России!




    • Изменено M.V.V. _ 21 октября 2016 г. 9:51
    21 октября 2016 г. 9:46
  • В первую очередь администратору нужно разобраться с какого компьютера / сервера происходят попытки ввода неверных паролей  и идет дальнейшая блокировка учетной записи.  Событие блокировки учетной записи домена можно найти в журнале Security на контролере домена. Отфильтруйте журнала безопасности по событию с Event ID 4740.

    После того как нашли событие, в котором указано что такая-то учетная запись (имя учетной записи указано в строкеAccount Name) заблокирована (A user account was locked out). Имя компьютера, с которого была произведена блокировка  указано в поле Caller Computer Name.

    Часто пользователи начинаю жаловаться на блокировку своей учетной записи после плановой смены пароля своей доменной учетной записи. Это наталкивает на мысль, что старый/неверный пароль сохранен в некой программе, скрипте или службе, которая периодически пытается авторизоваться в домене с устаревшим паролем,  Рассмотрим самые распространение места, в которых пользователь мог сохранить свой старый /неверный пароль:

    1. Монтирование сетевого диска через net use (Map Drive)
    2. В заданиях планировщика Windows (Task Scheduler)
    3. В службах Windows, которые настроены на запуск из-под доменной учетной записи
    4. Сохранённые данные в менеджере паролей (Credential Manager)
    5. Браузеры
    6. Мобильные устройства (например, использующееся для доступа к корпоративной почте)
    7. И др.

    Взято с нашего сайта (сейчас, к сожалению на ремонте). Сама тема тут:http://aqhot.ru/?p=190


    • Изменено Crazy Bird 21 октября 2016 г. 9:51
    21 октября 2016 г. 9:46
  • Предоставите лог сторонней антивирусной утилиты FRST согласно следующей инструкции:
    - Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

      • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
      • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

      • Нажмите кнопку Scan.
      • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении в качестве ссылки на скачивания с файлового хранилища (например onedrive).
      • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении в качестве ссылки на скачивания с файлового хранилища (например onedrive).



    Best Regards, Andrei ...
    MCP

    21 октября 2016 г. 9:51
    Модератор
  • Состояние компьютера конечно просмотрели. Службы, задачи в планировщике тоже просмотрели. Здесь все чисто.

    Выключать комп правда не пробовали.

    За идею переименовать учетку спасибо, не думал в этом направлении.

    21 октября 2016 г. 9:51
  • Насчет антивируса. Мы проверяли компьютер с помощью ESET NOD32 и с помощью CureIT. Думаю, что дело не в вирусе.

    21 октября 2016 г. 12:17
  • Насчет антивируса. Мы проверяли компьютер с помощью ESET NOD32 и с помощью CureIT. Думаю, что дело не в вирусе.

    Цель была получить список активных приложений и просмотр системных событий и событий приложений.

    Best Regards, Andrei ...
    MCP

    21 октября 2016 г. 12:44
    Модератор
  • После повторного внимательного просмотра нашел программу сетевого сканирования для сканера, которого уже не было. После ее удаления вроде все нормализовалось. Учетная запись не блокируется.

    Еще помониторю некоторое время.

    25 октября 2016 г. 8:21
  • Добрый день!

    А как быть если адрес вызывающего компа который блочит учетку отсутствует в домене. Больше похоже на зловред, но антивирус молчит как партизан

    Заблокирована учетная запись пользователя.

    Субъект:
        Идентификатор безопасности:        СИСТЕМА
        Имя учетной записи:        S06$
        Домен учетной записи:        ****
        Идентификатор входа:        0x3E7

    Заблокированная учетная запись:
        Идентификатор безопасности:        ***\*******
        Имя учетной записи:        *********

    Дополнительные сведения:
        Имя вызывающего компьютера:    Rdesktop

    27 августа 2017 г. 10:44
  • Ну, для начала хотя бы тип входа из события скопируйте.


    Слава России!

    27 августа 2017 г. 11:32