Comment trouver la cause du compte d'utilisateur verrouillé dans le domaine Windows AD

18

Après un récent incident avec Outlook, je me demandais comment résoudre le problème suivant de la manière la plus efficace:

Supposons une infrastructure AD de petite à moyenne taille assez typique: plusieurs contrôleurs de domaine, un certain nombre de serveurs internes et de clients Windows, plusieurs services utilisant AD et LDAP pour l'authentification des utilisateurs à l'intérieur de la DMZ (relais SMTP, VPN, Citrix, etc.) et plusieurs internes services reposant tous sur AD pour l'authentification (Exchange, serveur SQL, serveurs de fichiers et d'impression, serveurs de services terminaux). Vous avez un accès complet à tous les systèmes mais ils sont un peu trop nombreux (en comptant les clients) pour vérifier individuellement.

Supposons maintenant que, pour une raison inconnue, un (ou plusieurs) compte d'utilisateur soit verrouillé en raison de la politique de verrouillage du mot de passe toutes les quelques minutes.

  • Quelle serait la meilleure façon de trouver le service / la machine responsable de cela?
  • En supposant que l'infrastructure est pure, Windows standard sans outil de gestion supplémentaire et peu de changements par rapport à la valeur par défaut, est-il possible d'accélérer ou d'améliorer le processus de recherche de la cause d'un tel verrouillage?
  • Que pourrait-on faire pour améliorer la résilience du système contre un tel DOS de verrouillage de compte? La désactivation du verrouillage de compte est une réponse évidente, mais vous rencontrez ensuite le problème des utilisateurs ayant un moyen de mots de passe facilement exploitables, même avec une complexité renforcée.
windows  active-directory 
Stéphane
source
1
Regardez dans le journal de sécurité sur le PDCe
Mathias R. Jessen
Question impressionnante. Bien étoffé.
Pecos Bill

Réponses:

13

Ajouter quelque chose que je ne vois pas dans les réponses données.

Quelle serait la meilleure façon de trouver le service / la machine responsable de cela?

Vous ne pouvez pas simplement consulter le journal de sécurité sur le PDCe, car, bien que le PDCe dispose des informations les plus à jour concernant les verrouillages de compte pour l'ensemble du domaine, il ne dispose pas d'informations sur le client (IP ou hostname) d'où proviennent les tentatives de connexion infructueuses, en supposant que les tentatives de connexion ayant échoué se sont produites sur un autre contrôleur de domaine en plus du PDCe. Le PDCe dira que «le compte xyz a été verrouillé», mais il ne dira pas d'où, si les ouvertures de session ont échoué sur un autre contrôleur de domaine du domaine. Seul le contrôleur de domaine qui a réellement validé la connexion enregistrera l'échec de la connexion, y compris l'adresse du client. (N'introduisant pas non plus les contrôleurs de domaine en lecture seule dans cette discussion.)

Il existe deux bonnes façons de savoir d'où proviennent les tentatives d'ouverture de session infructueuses lorsque vous disposez de plusieurs contrôleurs de domaine. Transfert d'événements et outils de verrouillage de compte de Microsoft .

Je préfère le transfert d'événements vers un emplacement central. Transférez les tentatives d'ouverture de session échouées de tous vos contrôleurs de domaine vers un serveur de journalisation central. Ensuite, vous n'avez qu'un seul endroit où rechercher les ouvertures de session qui ont échoué dans l'ensemble de votre domaine. En fait, personnellement, je n'aime pas vraiment les outils de verrouillage de compte de Microsoft, alors maintenant il y a un bon moyen.

Transfert d'événement. Tu vas l'adorer.

En supposant que l'infrastructure est pure, Windows standard sans outil de gestion supplémentaire et peu de changements par rapport à la valeur par défaut, est-il possible d'accélérer ou d'améliorer le processus de recherche de la cause d'un tel verrouillage?

Voir au dessus. Vous pouvez ensuite demander à votre système de surveillance, tel que SCOM ou Nagios ou tout ce que vous utilisez, de peigner ce journal des événements unique et d'exploser votre téléphone portable avec des messages texte ou autre. Cela ne s'accélère pas plus que cela.

Que pourrait-on faire pour améliorer la résilience du système contre un tel DOS de verrouillage de compte?

  1. Éducation des utilisateurs. Dites-leur d'arrêter de configurer les services Windows pour qu'ils s'exécutent sous leurs comptes d'utilisateur de domaine, déconnectez-vous des sessions RDP quand ils ont terminé, apprenez-leur à effacer le coffre des informations d'identification Windows des mots de passe mis en cache pour Outlook, etc.
  2. Utilisez les comptes de services gérés où vous pouvez pour que les utilisateurs n'aient plus à gérer les mots de passe de ces comptes d'utilisateurs. Les utilisateurs gâchent tout. Si vous donnez un choix à un utilisateur, il ou elle fera toujours le mauvais choix. Alors ne leur donnez pas le choix.
  3. Application des délais d'expiration de session à distance via GPO. Si un utilisateur est inactif dans une session RDP pendant 6 heures, lancez-le.
Ryan Ries
source
1
+1 pour "donner à un utilisateur le choix, il ou elle fera toujours le mauvais choix"
Devon_C_Miller
Merci d'avoir signalé les comptes de services gérés . Je ne me souvenais pas de la description il y a quelques jours lors de la recherche d'un moyen d'omettre les comptes d'utilisateurs fonctionnant en tant que services.
John aka hot2use
3

Nous avons eu le même problème lors du nettoyage des comptes d'administrateur dans un environnement plus vaste il y a quelque temps. Bien que les journaux d'audit des contrôleurs de domaine fournissent techniquement les informations nécessaires, nous avons décidé d'implémenter le produit ADAudit Plus de ManageEngine, qui analyse ces journaux et recherche les tentatives de connexion, ainsi que les modifications apportées à AD. En utilisant une fonction de rapport intégrée et un peu de travail Excel, nous avons pu localiser (assez facilement) d'où venaient les connexions. Dans notre cas, cela était principalement lié aux administrateurs ayant utilisé des comptes d'administrateur au lieu de comptes de service lors de la mise en œuvre de diverses applications.

Trondh
source
des commentaires sur l'édition gratuite vs le professionnel?
Bozojoe
3

Que pourrait-on faire pour améliorer la résilience du système contre un tel DOS de verrouillage de compte?

Tu ne peux pas.

Il y a beaucoup de choses qui peuvent brûler votre maison. Comme du code simple pour demander à plusieurs reprises des adresses IP jusqu'à ce que la portée DHCP soit épuisée. Ou du code simple qui crée des répertoires jusqu'à ce que la MFT soit pleine et que vous deviez reformater votre partition pour la restaurer. Vous ne pouvez pas vous protéger contre tout.

Un scénario plus courant avec les lock-out concerne les personnes qui saisissent leurs informations d'identification dans une variété beaucoup plus large d'appareils qu'il n'y a quelques années. Telles que des imprimantes (pour numériser des e-mails) ou un smartphone ou une tablette. S'ils oublient où ils ont entré leurs informations d'identification, ou s'ils n'ont plus accès à l'appareil, il est possible que l'appareil continue de tenter l'authentification pour toujours. L'authentification par e-mail est un vecteur difficile pour retrouver ces appareils, et même si vous le faites, l'utilisateur peut ne pas y avoir accès ou savoir où il se trouve. IP 10.4.5.27? Je connais un utilisateur qui a dû appeler le service d'assistance tous les jours pour déverrouiller son compte, puis il se connectait immédiatement, puis son compte se verrouillait à nouveau. Ils l'ont fait pendant des mois. Je leur ai dit de renommer leur compte.

La vie a des effets dissuasifs, nous ne pouvons pas tous les supprimer.

Greg Askew
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.