web-dev-qa-db-ja.com

ActiveDirectoryユーザーのロックアウトの原因を追跡する

問題

突然、この組織のシステムの多くのユーザーが、Active Directoryアカウントからロックアウトされたと報告し始めました。

環境

ネットワーク全体が物理的かつローカルです。直接インターネットアクセスはありません。 VPNを介してローカルネットワークをより広範な企業ネットワークに接続するファイアウォールがあります。ローカルネットワークのコンポーネントは次のとおりです。

  • NY:ActiveDirectoryドメイン。
  • server1:Windows Server 2008 R2; NYのActiveDirectoryドメインコントローラー;リモートデスクトップライセンスサーバー; HyperV VMホスト;管理者のみが接続を許可されます。
  • server2:Windows Server 2008 R2;リモートデスクトップセッションホスト; NYのメンバー;ユーザーは定期的にこのマシンに接続してドキュメントを処理します。
  • NL:Windows XP; VM server1でホストされているHyperVで実行; NYのメンバー;毎週定期的に一部のユーザー(おそらく3人)のみが使用します。
  • FINXFER:Windows XP; VM server1でホストされているHyperVで実行; NYのメンバー;は、ネットワークを介して定期的にデータを転送する適切なソフトウェアを実行します。
  • 他のさまざまなWindows XP server1で実行されているVMで、ほとんどがバックグラウンドサービスを実行し、通常はリモートデスクトップを使用して接続されていません。
  • 上記へのリモートデスクトップ接続に使用されるさまざまなHPシンクライアントマシン。

私の調査

まず、server1(ドメインコントローラー)のイベントログを確認しました。イベントをフィルタリングしました 4740 "ユーザーアカウントがロックアウトされました" そして、このイベントが2〜3分に1回発生したことがわかりました。

Frequent account lockouts

イベントが発生するたびに、次のようになります。

A user account was locked out.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER1$
    Account Domain:     NY
    Logon ID:       0x3e7

Account That Was Locked Out:
    Security ID:        NY\JoeSmith
    Account Name:       JoeSmith

Additional Information:
    Caller Computer Name:   NL

オカレンスごとに異なるActiveDirectoryユーザー名がありますが、残りはすべての場合で同じです。

ロックアウトの頻度と繰り返しは、誰かまたは何かがユーザー名のリストを実行し、それらのユーザーがロックアウトされるまでパスワードを推測しようとしていることを示唆しているように見えるので、これは私にとってすぐに危険信号です。

各イベントにCaller Computer Name: NLという行が含まれていることに気付きました。これは、Microsoftのドキュメント 474 に次のように記載されています。

ログオン試行が受信され、その後ターゲットアカウントがロックアウトされたコンピュータアカウントの名前。

私の知る限り、これは誰かまたは何かがNL資格情報を使用してNYにログインしようとしていること、またはNLマシン自体の何かがログインしようとしていることを意味しますNY資格情報を使用して認証します。

ソースを見つけるために、NLの[ローカルセキュリティポリシー]で次の監査ポリシーを有効にしました。

Newly enabled security audit policies

一時的な修正として、使用していないときはNL VMをオフにし、マシンがオフラインの間はロックアウトを停止します。これは数週間続いています。今。

最近、私はNL VMをオンラインで一晩放置してログを蓄積させたところ、見た目が良くありませんでした。NL 1秒間に複数回、一晩中:

Event Type: Failure Audit
Event Source:   Security
Event Category: Account Logon 
Event ID:   680
Date:       1/20/2020
Time:       8:31:24 PM
User:       NT AUTHORITY\SYSTEM
Computer:   NL
Description:
Logon attempt by: Microsoft_AUTHENTICATION_PACKAGE_V1_0
 Logon account:  Finance
 Source Workstation: FINXFER
 Error Code: 0xC000006A

に続く:

Event Type: Failure Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:   529
Date:       1/20/2020
Time:       8:31:24 PM
User:       NT AUTHORITY\SYSTEM
Computer:   NL
Description:
Logon Failure:
    Reason:     Unknown user name or bad password
    User Name:  Finance
    Domain:     FINXFER
    Logon Type: 3
    Logon Process:  NtLmSsp 
    Authentication Package: NETWARE_AUTHENTICATION_PACKAGE_V1_0
    Workstation Name:   FINXFER

これらを何度も繰り返した後、私はついにこのイベントを取得しました:

Event Type: Success Audit
Event Source:   Security
Event Category: Account Management 
Event ID:   644
Date:       1/20/2020
Time:       8:31:29 PM
User:       NT AUTHORITY\SYSTEM
Computer:   NL
Description:
User Account Locked Out:
    Target Account Name:    Administrator
    Target Account ID:  NL\Administrator
    Caller Machine Name:    FINXFER
    Caller User Name:   NL$
    Caller Domain:  NY
    Caller Logon ID:    (0x0,0x3E7)

これは、以前に見たランダムなユーザーではなく、「管理者」ログインのみを試行しているため、予想とは少し異なります。もちろん、管理者アカウントを実際にロックアウトすることはできないため、これが攻撃者である場合は、それが推測しようとするユーザーであることは理にかなっています。

さて、FINXFER VMはネットワークを介して情報を転送しますが、してはいけませんNLマシンで何でも、1秒間に複数回は絶対にしないでください。

アイデア?

アカウントのロックアウトを引き起こすこれらのログイン試行のソースを突き止めるために、他にどのようなツールを使用できますか、またはどのログを検索/有効化できますか? FNIXFERのどのプログラムがログイン試行を開始しているかを確認するにはどうすればよいですか?

1
Keith Stein

本当に Advanced Audit Policies を使用していて、グループポリシーを介してすべてのコンピューターに設定する必要があります。詳細ポリシーはより詳細で、より具体的な情報を提供します。

監査アカウントのロックアウト ポリシーに関する記事では、推奨されるGPO=設定-基本的に、すべて、DC、メンバーサーバー、ワークステーションの監査の失敗について説明しています。(「より強力な「成功とより強力な失敗」は、環境でより厳格な監査が必要な場合です。「一般的な成功/失敗」は、どこにでも適用する必要がある設定です。

セクションの先頭から始めて、推奨事項に沿ってすべての監査ポリシーを確認することをお勧めします。少なくとも、ログオン、Kerberos、または認証監査設定を有効にする必要があります。

ただし、メンバーサーバーには、特定のユーザーのログオンイベントが表示されますか?もしそうなら、彼らはどのようなログオンですか?インタラクティブ、ネットワーク...?ボックスで実行されているアプリケーションは何ですか?それはWebサーバー、ターミナルサーバーなどですか?ドメインユーザーコンテキストで実行されているスケジュールされたタスクはありますか? (SYSTEMではなく)またはADを照会している可能性のあるものはありますか?

1
Trix

私はお勧めします Netwrixアカウントロックアウト検査官 設定する必要があるポリシーを示し、ロックアウトがどこから来たかを正確に示すためです。

経験から:

  • pCの名前は、ユーザーによる誤ったパスワードを意味します
  • あなたの名前PDCは、Office365からのロックアウトを意味しますまたはRADIUSサーバー
  • 通常、コンピュータ名がないということは、バイオメトリクス認証の失敗を意味します

誰かがネットワークにいる疑いがある場合(Xpがセキュリティパッチでしばらくサポートされていない可能性が高い)、XPマルウェアバイトまたはそれをサポートしているAVを搭載したマシンを確認してください)可能であれば、W10にアップグレードします(Microsoftは無料で提供しています)。

レガシーソフトウェアがあり、それをアップグレードできない場合は、ドメイン管理者がログインできず、ユーザーが管理者になるか、ネットワーク経由でアクセスできるように制限してください。

0
JurajB