一、通过检查事件日志中以下的事件来找到锁定原因:
用户帐户已被锁定。
用户帐户已被解锁。
由于未知的用户名或错误密码导致账户登录失败。
密码策略检查 API 被调用。
域控制器试图验证帐户的凭据。
Kerberos 预身份验证失败。
域策略已更改:帐户锁定和密码策略的更改。
二、单纯利用windows系统自带的工具去分析上述事件是充满挑战性的,原因如下:
①事件繁杂
在用户没有意识到他们的帐户因遭受黑客攻击而被锁定时,黑客会通过暴力破解的方式进入用户的网络。由于事件的繁杂外加用户可能会登录到多台计算机、服务或者通过远程连接,使得IT管理员或服务台技术员很难在短时间内找出帐户锁定原因。
②缺乏足够的储存空间
Windows事件查看器的存储限制是4GB,因此分析和调查所需的日志可能早已不存在,也有可能会在调查过程中被覆盖,这会使得IT管理员或服务台技术员无法确定锁定的原因。他们通常所能做的只是为用户重置密码,检查每个组件,直到他们找到对应的组件。由于没有足够的登录事件来进行分析, IT管理员或者服务台技术员很难有效地找到账户真正被锁定的原因。
简单地说,Windows自带的工具不具备快速有效解决帐户锁定的能力。
卓豪的ADAudit Plus产品提供专门的帐户锁定分析方案。通过持续监控和实时日志收集,为IT管理员或服务台技术员提供清晰可见的报表,提供分析帐户锁定所需的所有必要数据。
①这些必要的数据包括:
每个锁定实例的人员、时间、地点和原因的报表。这些报表是实时收集的 , 可以导出为 CSV、PDF、XML 和 HTML 格式。只需点击一下鼠标,就可以调出在指定时间范围内发生的每次锁定事件的完整细节。
使用用户凭据的所有服务和窗口组件的详细信息。这样,任何发生过的账号锁定原因都可以在几秒钟内被发现。
用户最近的登录历史记录,这对于破译帐户锁定的原因非常有用。通过分析用户的登录历史,IT管理员和服务台技术员可以了解可疑登录情况下存在的潜在威胁。
当特权用户被锁定或锁定数量过高时,ADAudit Plus会发出即时警报。这些警报也可以直接以电子邮件或短信方式发送到IT管理员或服务台技术员。
②为帮助管理员和技术人员更好地了解其域中的帐户锁定状态,ADAudit Plus 提供了大量预置报表,这些报表包括:
最近被锁定的用户
频繁锁定的用户
最近解锁的用户
频繁解锁的用户
所有这些报表都列出了被锁定的用户帐户以及关键的详细信息,如被锁定的时间和相关域控制器。这些报表帮助IT管理员跟踪并密切关注经常被锁定的用户帐户。如果IT管理员或服务台技术员需要找出哪个用户帐户可能存在攻击行为,他们可以通过检查最近被锁定的用户来判断。ADAudit Plus 的用户行为分析通过使用动态阈值来发现用户登录活动的可疑数量以及持续时间。
卓豪的ADAudit Plus 是一款IT 安全及合规的解决方案。它提供了有关对 Active Directory、Azure AD 和 Windows 服务器的200 多个特定事件的报告和实时电子邮件告警。此外,它还提供全面的智能访问工作站和文件服务器,如NetApp 和EMC等。
