web-dev-qa-db-fra.com

Traquer les lockouts de compte d'annonce non traditionnel

Un utilisateur (nous les appellerons "Nom d'utilisateur") continue de s'arranger et je ne sais pas pourquoi. Un autre mot de passe mauvais est enregistré toutes les 20 minutes sur le point.

The PDC émulateur DC= est exécutant Server 2008 R2 STD. ID d'événement 4740 est enregistré pour le verrouillage mais le nom de l'ordinateur de l'appelant est vide:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/29/2015 4:18:14 PM
Event ID:      4740
Task Category: User Account Management
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      FQDNofMyPDCemulatorDC
Description:
A user account was locked out.

Subject:
    Security ID:        SYSTEM
    Account Name:       MyPDCemulatorDC$
    Account Domain:     MYDOMAIN
    Logon ID:       0x3e7

Account That Was Locked Out:
    Security ID:        MYDOMAIN\username
    Account Name:       username

Additional Information:
    Caller Computer Name:   

L'origine de verrouillage DC est exécutant le serveur 2003 exécutant IAS (rayon). Son journal de sécurité contient un événement correspondant pour le verrouillage du compte, mais il manque également la source (nom de la machine à appelant):

Event Type: Success Audit
Event Source:   Security
Event Category: Account Management 
Event ID:   644
Date:       5/29/2015
Time:       4:18:14 PM
User:       NT AUTHORITY\SYSTEM
Computer:   MyRadiusDC
Description:
User Account Locked Out:
    Target Account Name:    username
    Target Account ID:  MYDOMAIN\username
    Caller Machine Name:    
    Caller User Name:   MyRadiusDC$
    Caller Domain:      MYDOMAIN
    Caller Logon ID:    (0x0,0x3E7)

NetLogon La journalisation du débogage est activée sur le Lockout Origin DC, et le journal (C:\Windows\Debug\NetLogon.log) affiche les connexions défaillantes en raison du mauvais mot de passe, mais pas de la source (vous pouvez voir où il est suivi "de" suivi. Par deux espaces, entre les espaces devraient être la source de la tentative de connexion):

05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from  Entered
05/29 16:18:14 [LOGON] MYDOMAIN: SamLogon: Network logon of MYDOMAIN\username from  Returns 0xC000006A

Les journaux IAS (c:\windows\system32\logfiles\in ######. Journal) N'affichez aucun RADIUS connexions de cet utilisateur au cours des 2 derniers jours.

Je ne sais pas où le diable aller d'ici est sauf pour la malédiction de Microsoft jusqu'à ce que je sois à bout de souffle. Quelqu'un a-t-il des idées qui pourraient être plus productives? :-RÉ

5
Fëanor

Je viens de terminer un appel avec Microsoft sur exactement cela, alors j'espère que les informations suivantes aideront :)

Les tentatives d'authentification peuvent se produire à quelques endroits, et notamment si vous utilisez l'authentification PEAP pour les connexions sans fil, la négociation d'authentification se produit également via le service EAHOST.

La découverte I de service EAPHost n'a pas l'enregistrement d'authentification fantastique (il est malheureux en fait - fichier de trace), donc si pour quelque authentification raison échoue dans EAPHost, la tentative d'échec d'authentification est enregistrée en utilisant les eventIDs d'authentification peu génériques dans le journal des événements et rien tous dans les journaux IAS.

Ce que nous avons découvert était qu'un nouvellement construit RADIUS = enregistrait beaucoup plus d'informations dans les journaux IAS que notre système de production. J'ai suivi une journalisation reconfigurée via le journal de configuration pour inclure les informations de comptabilité ( Cochez toutes les cases de l'assistant!), Redémarrait le service et trouva que tous les événements IAS manquants étaient maintenant enregistrés, y compris les adresses MAC et les SSID dans les fichiers journaux IAS.

J'espère que cela peut aider :)

1
Ben Short