none
Самопроизвольное блокирование учетной записи DOMAIN\Admin RRS feed

  • Вопрос

  • Есть контролер домена с ролью PDC с недавнего времени стала блокироваться учетная запись DOMAIN\Admin, и вслед на ней стали блокироваться учетки с различными админскими провами.
    Проверка на вирусы способные блокировать учетки и самого контролера не дала результатов.
    Блоктрование происходит с различной частотой , в GPO стоит 5 неудачных попыток и разблокирование через 30 минут. Подскажите пожалуйста в какую сторону копать???


    val
    2 марта 2009 г. 13:54

Ответы

  • > Примерно нашел хост который может блокировать DOMAIN\Admin но есть большое сомнение на это счет
    как вы установили, что это именно этот хост и почему вы сомневаетесь?
     
    а это вы установите тем же самым аудитом. Просто разблокируйте все учётки администраторов и ждите, когда они заблокируются. Но вместе с тем следите за журналом Security на контроллерах доменов (всех контроллеров). Если выяснится, что в Security нету сведений об атаке на учётные записи других администраторов, то это может означать, что пароль одного из администраторов был скомпрометирован. Поэтому смените пароли всем администраторам и включите аудит успехов Audit Account Management на контроллере домена.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    • Помечено в качестве ответа Vl_dimir 3 марта 2009 г. 14:28
    3 марта 2009 г. 14:02

Все ответы

  • Вот это почитайте.
    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    • Предложено в качестве ответа Aleksey Potapov 2 марта 2009 г. 13:57
    2 марта 2009 г. 13:57
  •  На эту гадость тоже проводил проверку согласно статье но ничего???
    val
    2 марта 2009 г. 14:04
  • Вы меня спрашиваете?
    Пользоволись ли Вы инструментом Windows Defender ?
    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    2 марта 2009 г. 14:07
  • Проверял SYMANTEC FixDownadup и TrendMicroControlManager но такого черьвя они не нашли. Я грешу на сам контролер но dcdiag и dsquery не показали отклонений.
    val
    2 марта 2009 г. 14:15
  • Воспользуйтесь Windows Defender .
    Где именно вы проверяли?
    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    2 марта 2009 г. 14:16
  • Может эта тема на мысль наведёт?
    MCP
    2 марта 2009 г. 15:43
  •  Ice1374, Да это тоже как вариант.....Если быть точным посмотрите на ответ Vadims Podans
    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    2 марта 2009 г. 16:24
  • Когда происходят блокирования учётных записей из-за срабатывания Lockout в первую очередь нужно включить аудит неуспешных входов (Failure Logon Events и Failure Account Logon Events) и смотрите журнал Security на контролерах доменов (всех контроллеров, поскольку эта информация не реплицируется). Даже если все администраторы заблокированы, это можно сделать при помощи Built-In учётной записи Administrator, на которую политика блокировки учётных записей не распространяется совсем. И следите, откуда идут интенсивные логоны, там и копайте.

    На правах оффтопа - 30 минут не многовато ли? Мне кажется, что даже 5 минут достаточно, не?


    [тут могла быть ваша реклама] http://www.sysadmins.lv
    2 марта 2009 г. 18:14
  •  Самое интересное вместе с DOMAIN\Admin, блокируются учетки являющиеся членами группы Administrators. Может перекосился сам контролер PDC.??? Если это так то как это проверить т.е как проверить что PDC отрабатывает пароли пользователей.???
    val
    3 марта 2009 г. 12:44
  • прочитайте предыдущий пост. Пока вы не настроите аудит, с вами не о чем будет разговаривать.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    3 марта 2009 г. 12:47
  • Аудит настроен, но только нарушений прав доступа не зафиксировано.
    val
    3 марта 2009 г. 12:52
  • вы где настраивали аудит? Его нужно настроить в Default Domain Policy и в Domain Controllers Policy.


    [тут могла быть ваша реклама] http://www.sysadmins.lv
    3 марта 2009 г. 13:02
  •   Настроено в Default Domain Policy
    val
    3 марта 2009 г. 13:07
  •  это будет регистрировать логоны на рабочих станциях. Чтобы видеть это всё на контроллере домена (всю доменную аутентификацию), то настройте так же и в Domain Controllers Policy, т.к. у них свой аудит логонов.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    3 марта 2009 г. 13:09
  •  Примерно нашел хост который может блокировать DOMAIN\Admin но есть большое сомнение на это счет, но тогда возникает вопрос Кто блокирует другие админские учетки???
    val
    • Помечено в качестве ответа Vl_dimir 3 марта 2009 г. 14:28
    • Снята пометка об ответе Vl_dimir 3 марта 2009 г. 14:28
    3 марта 2009 г. 13:43
  • > Примерно нашел хост который может блокировать DOMAIN\Admin но есть большое сомнение на это счет
    как вы установили, что это именно этот хост и почему вы сомневаетесь?
     
    а это вы установите тем же самым аудитом. Просто разблокируйте все учётки администраторов и ждите, когда они заблокируются. Но вместе с тем следите за журналом Security на контроллерах доменов (всех контроллеров). Если выяснится, что в Security нету сведений об атаке на учётные записи других администраторов, то это может означать, что пароль одного из администраторов был скомпрометирован. Поэтому смените пароли всем администраторам и включите аудит успехов Audit Account Management на контроллере домена.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    • Помечено в качестве ответа Vl_dimir 3 марта 2009 г. 14:28
    3 марта 2009 г. 14:02