Nous avons un domaine avec environ 15 serveurs et environ 30 postes de travail. Les serveurs sont principalement 2008r2 et les postes de travail sont principalement Windows 7. Les deux contrôleurs de domaine sont 2012r2. Toutes les quelques semaines, l'un de nos comptes d'administrateur est verrouillé. J'essaie de réduire la cause et j'ai atteint une impasse.
Voici ce que j'ai.
Le journal des événements sur le PDC affiche l'événement 4776 - réussite de l'audit:
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: username
Source Workstation:
Error Code: 0x0
Tous pour le même nom d'utilisateur et récurrents plusieurs fois par seconde.
Sur la base des ID d'événement, il s'agit de connexions NTLM plutôt que Kerberos. Bien que le type d'authentification utilisé soit moins inquiétant pour moi que la quantité de cisaillement. Cela se produit plusieurs fois par seconde et se répète toutes les deux secondes à l'infini, toute la journée, la nuit ou le week-end.
Le journal des événements affiche également l'ID d'événement de réussite d'audit 4624 (ouverture de session) et 4634 (fermeture de session) pour ce nom d'utilisateur, mais comme dans l'événement ci-dessus, le champ "poste de travail" est vide.
J'ai activé la journalisation détaillée de netlogon et les émissions netlogon.log
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Entered
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Returns 0x0
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Entered
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Returns 0x0
Et ainsi de suite. La source apparente de ces connexions (via XYZ) peut inclure des postes de travail et des serveurs à travers le réseau.
Cela ressemble clairement à une automatisation ou à un script. Étant donné que les connexions sont généralement toutes réussies, je ne pense pas que ce soit une tentative d'intrusion. Certaines connexions, cependant, échouent de temps en temps, mais je n'ai identifié aucun motif de l'échec et elles se produisent si rarement que (la plupart du temps), elles ne verrouillent pas le compte. Le code d'échec lorsqu'il y en a un est généralement 0xc0000022 (accès refusé)
J'ai désactivé et désinstallé notre agent de surveillance à distance (actuellement Kaseya, mais nous passons finalement à LabTech) à partir d'un des serveurs, mais j'ai encore vu de nouveaux événements provenant de ce serveur, donc cela exclut les tâches d'automatisation. J'ai également vérifié le planificateur de tâches sur quelques serveurs et je n'ai rien trouvé d'extraordinaire. J'ai vérifié les services pour vérifier les comptes d'ouverture de session et ce compte n'est utilisé dans aucun service.
J'ai couru Netstat pendant un bon moment et j'ai vu principalement des connexions au PDC à partir de "System" et "System Idle Process". J'ai vu des connexions occasionnelles à partir de spoolsrv et lsass et ismserv (le serveur sur lequel je teste est un serveur Citrix XenApp, mais d'autres serveurs "source" ne sont pas dans la batterie XenApp, et bien sûr les postes de travail "source" ne le sont pas non plus). J'ai arrêté le service de spouleur d'impression juste pour tester et cela n'a eu aucun impact sur les événements de connexion.
Je travaille dans un MSP et il s'agit de notre compte administrateur dom technicien principal, il est donc hautement prioritaire qu'il fonctionne et soit sécurisé. La dernière idée qui me reste est de changer le mot de passe et de voir ce qui se casse, mais sans savoir à quoi le compte est utilisé, cela pourrait avoir des conséquences potentiellement catastrophiques. Cependant, je soupçonne que cela pourrait simplement être une AD mal configurée.
Est-ce que quelqu'un a déjà vécu quelque chose comme ça et a pu identifier la source?