Après un récent incident avec Outlook, je me demandais comment résoudre le problème suivant de la manière la plus efficace:
Supposons une infrastructure AD de petite à moyenne taille assez typique: plusieurs contrôleurs de domaine, un certain nombre de serveurs internes et de clients Windows, plusieurs services utilisant AD et LDAP pour l'authentification des utilisateurs à l'intérieur du DMZ (relais SMTP, VPN , Citrix, etc.) et plusieurs services internes reposant tous sur AD pour l'authentification (Exchange, serveur SQL, serveurs de fichiers et d'impression, serveurs de services terminaux). Vous avez un accès complet à tous les systèmes mais ils sont un peu trop nombreux (en comptant les clients ) à vérifier individuellement.
Supposons maintenant que, pour une raison inconnue, un (ou plusieurs) compte d'utilisateur soit verrouillé en raison de la stratégie de verrouillage du mot de passe toutes les quelques minutes.
Ajouter quelque chose que je ne vois pas dans les réponses données.
Quelle serait la meilleure façon de trouver le service/la machine responsable de cela?
Vous ne pouvez pas simplement consulter le journal de sécurité sur le PDCe, car, alors que le PDCe possède les informations les plus à jour concernant les verrouillages de compte pour l'ensemble du domaine, il ne dispose pas des informations sur le client (IP ou nom d'hôte) d'où proviennent les tentatives d'ouverture de session, en supposant que les tentatives d'ouverture de session ont échoué sur un autre DC en plus du PDCe). Le PDCe dira que "Le compte xyz a été verrouillé", mais il ne dira pas d'où, si les ouvertures de session ont échoué sur un autre DC dans le domaine. Seul le DC qui a réellement validé la connexion enregistrera l'échec de la connexion, y compris l'adresse du client. (N'introduisant pas non plus de RODC dans cette discussion.)
Il existe deux bonnes façons de savoir d'où proviennent les tentatives d'ouverture de session infructueuses lorsque vous disposez de plusieurs contrôleurs de domaine. Transfert d'événement et Microsoft Outils de verrouillage de compte .
Je préfère le transfert d'événements vers un emplacement central. Transférez les tentatives d'ouverture de session échouées de tous vos contrôleurs de domaine vers un serveur de journalisation central. Ensuite, vous n'avez qu'un seul endroit où rechercher les ouvertures de session qui ont échoué dans l'ensemble de votre domaine. En fait, personnellement, je n'aime pas vraiment les outils de verrouillage de compte de Microsoft, alors maintenant il y a un bon moyen.
Transfert d'événement. Tu vas l'adorer.
En supposant que l'infrastructure est pure, Windows standard sans outil de gestion supplémentaire et peu de changements par rapport à la valeur par défaut, est-il possible d'accélérer ou d'améliorer le processus de recherche de la cause d'un tel verrouillage?
Voir au dessus. Vous pouvez ensuite demander à votre système de surveillance, tel que SCOM ou Nagios ou tout ce que vous utilisez, de peigner ce journal des événements unique et d'exploser votre téléphone portable avec des messages texte ou autre. Cela ne s'accélère pas plus que cela.
Que pourrait-on faire pour améliorer la résilience du système contre un tel DOS de verrouillage de compte?
Nous avons eu le même problème lors du nettoyage des comptes d'administrateur dans un environnement plus vaste il y a quelque temps. Bien que les journaux d'audit des contrôleurs de domaine fournissent techniquement les informations nécessaires, nous avons décidé d'implémenter le produit ADAudit Plus de ManageEngine, qui analyse ces journaux et recherche les tentatives de connexion, ainsi que les modifications apportées à AD. En utilisant une fonction de rapport intégrée et un peu de travail Excel, nous avons pu localiser (assez facilement) d'où venaient les connexions. Dans notre cas, cela était principalement lié aux administrateurs ayant utilisé des comptes d'administrateur au lieu de comptes de service lors de la mise en œuvre de diverses applications.
Que pourrait-on faire pour améliorer la résilience du système contre un tel DOS de verrouillage de compte?
Tu ne peux pas.
Il y a beaucoup de choses qui peuvent brûler votre maison. Comme du code simple pour demander à plusieurs reprises des adresses IP jusqu'à ce que la portée DHCP soit épuisée. Ou du code simple qui crée des répertoires jusqu'à ce que la MFT soit pleine et que vous deviez reformater votre partition pour la restaurer. Vous ne pouvez pas vous protéger contre tout.
Un scénario plus courant avec les lock-out concerne les personnes qui saisissent leurs informations d'identification dans une variété beaucoup plus large d'appareils qu'il n'y a quelques années. Telles que des imprimantes (pour numériser des e-mails), ou un smartphone ou une tablette. S'ils oublient où ils ont entré leurs informations d'identification, ou s'ils n'ont plus accès à l'appareil, il est possible que l'appareil continue de tenter l'authentification pour toujours. L'authentification par e-mail est un vecteur difficile pour retrouver ces appareils, et même si vous le faites, l'utilisateur peut ne pas y avoir accès ou savoir où il se trouve. IP 10.4.5.27? Je connais un utilisateur qui a dû appeler le service d'assistance tous les jours pour déverrouiller son compte, puis il se connectait immédiatement, puis son compte se verrouillait à nouveau. Ils l'ont fait pendant des mois. Je leur ai dit de renommer leur compte.
La vie a des effets dissuasifs, nous ne pouvons pas tous les supprimer.