小邓为您分享几种常见的账户锁定原因
一、攻击者正在攻击您的网络
暴力破解是帐户反复被锁定的主要原因之一。如果一个帐户多次被锁定,最后却成功登录,那么极有可能是有人正在攻击您的网络。攻击者只需通过攻击一个特权帐户,最终实现完全控制整个网络。因此,企业有必要去仔细分析发生的账户锁定事件,才能避免攻击者有机可乘。
网络攻击
二、正在使用旧密码
当用户的密码更改没有同步到与之关联的服务或应用时,该服务或应用仍然可能会使用旧密码,旧密码会导致帐户锁定。在这种情况下,IT管理员或服务台技术人员通常需要去检查应用程序以及Windows组件中的密码使用情况,如需要去检查 Outlook 网络应用程序(OWA)或Active Sync密码的更新情况。它们极有可能因为使用旧密码而导致账户被锁定。
三、未更新服务控制管理器上的密码
服务控制管理器会在运行服务的计算机上缓存服务帐户密码。当服务帐户密码更改时,这些计算机可能不会更新缓存的密码,从而导致账户被锁定。IT管理员或服务台技术人员需要在成员服务器上的 AD Netlogon 日志文件和事件日志文件中查找登录失败的原因。然后,在服务控制管理器上设置新密码。
四、用户登录到多台计算机
一个用户可以同时登录到多台计算机。即使用户更改了本机的密码,其他计算机上的活动可能还会继续延用旧密码。IT管理员或服务台技术人员为了避免此情况的发生,通常会在修改用户密码时,终止用户在其他计算机上的所有活动。最后,再要求用户进行重新登录。
更改用户密码
终止用户所有活动
用户重新登录
五、误报
如果锁定阈值设置得太低,可能会导致误报。理想的锁定阈值是 10-20 次失败的尝试。错误警报会降低工作效率,并有可能让IT管理员或技术人员忽视真实存在的威胁。建议企业要使用基于个人用户行为的动态阈值。
六、忘记密码
员工忘记密码是最为普遍的现象。大多数账户锁定发生在假期之后,当员工度假回来时,经常会因忘记密码而多次尝试登录,最终导致账户被锁。重置密码的任务虽然增加了IT管理员或服务台技术人员的工作量;但通过锁定来源,IT管理员或服务台技术人员最终可确定他们的网络是安全的,庆幸这不是一次攻击活动。
下期小邓将与大家分享账户锁定的解决方案。如果您有账户锁定方面的困扰,敬请期待!
