none
Как определить источник блокировки пользовательского аккаунта в Active Directory? RRS feed

  • Вопрос

  • Домен Active Directory.
    Есть ряд веб-сервисов, опубликованных наружу, например, сайт для поставщиков на iis с авторизацией, доступный также и для внутренних пользователей.
    Внешние пользователи (поставщики, торгпреды и т.п.) - заведены доменными пользователями в отдельные OU.
    Администрирование снаружи через RDP и прочее - недоступно, VPN также не используется.

    В домене в дефолтной политике прописана стандартная блокировка на час при 5-тикратном неправильном вводе пароля.
    Иногда некоторые пользователи локальной сети с "well-known" именами учетной записи типа ivan попадают в блокировку по этой политике.
    Естественно пользователи клянутся, что ничего не делали. В логах их станций ничего криминального нет - пользователь как вошел утром в систему, так там и сидит. Попытки авторизации с неправильным паролем на станциях не фиксируются.
    Менять пароли пользователям запрещено той же групповой, она же обязывает их менять свой пароль раз в пол-года согласно требованиям (комплекс + мин. длина и глубина хранения предыдущих).

    Очень похоже на перебор пароля через форму авторизации веб-сервисов, но в логах безопасности на серверах с IIS тоже ничего подобного не наблюдается.

    Из логов на DC видно попытки авторизации с неправильным паролем с последующей блокировкой, но не видно с какой машины или сервера.
    20 января 2017 г. 12:06

Ответы

  • Домен Active Directory.
    Есть ряд веб-сервисов, опубликованных наружу, например, сайт для поставщиков на iis с авторизацией, доступный также и для внутренних пользователей.
    Очень похоже на перебор пароля через форму авторизации веб-сервисов, но в логах безопасности на серверах с IIS тоже ничего подобного не наблюдается.
    Из логов на DC видно попытки авторизации с неправильным паролем с последующей блокировкой, но не видно с какой машины или сервера.

    Добрый день. Если вам нужна информация о машинах, с которых был запрос аутентификации, придется пользоваться ПО для аудита сторонних поставщиков. Varonis, Netwrix и тд.

    Штатно только сможете прикрутить скрипт Powershell с оповещением, если кто-то неправильно ввел пароль в течение какого-л. промежутка времени. Но это весьма обтекаемая информация, нужно ее опять же отслеживать и анализировать.

    Совет- ваш часовой порог (параметр Account lockout duration) сдалать пониже, время блокировки 30-20 минут.

    21 января 2017 г. 6:53