突然、この組織のシステムの多くのユーザーが、Active Directoryアカウントからロックアウトされたと報告し始めました。
ネットワーク全体が物理的かつローカルです。直接インターネットアクセスはありません。 VPNを介してローカルネットワークをより広範な企業ネットワークに接続するファイアウォールがあります。ローカルネットワークのコンポーネントは次のとおりです。
NY
:ActiveDirectoryドメイン。server1
:Windows Server 2008 R2; NY
のActiveDirectoryドメインコントローラー;リモートデスクトップライセンスサーバー; HyperV VMホスト;管理者のみが接続を許可されます。server2
:Windows Server 2008 R2;リモートデスクトップセッションホスト; NY
のメンバー;ユーザーは定期的にこのマシンに接続してドキュメントを処理します。NL
:Windows XP; VM server1
でホストされているHyperVで実行; NY
のメンバー;毎週定期的に一部のユーザー(おそらく3人)のみが使用します。FINXFER
:Windows XP; VM server1
でホストされているHyperVで実行; NY
のメンバー;は、ネットワークを介して定期的にデータを転送する適切なソフトウェアを実行します。server1
で実行されているVMで、ほとんどがバックグラウンドサービスを実行し、通常はリモートデスクトップを使用して接続されていません。まず、server1
(ドメインコントローラー)のイベントログを確認しました。イベントをフィルタリングしました 4740 "ユーザーアカウントがロックアウトされました" そして、このイベントが2〜3分に1回発生したことがわかりました。
イベントが発生するたびに、次のようになります。
A user account was locked out.
Subject:
Security ID: SYSTEM
Account Name: SERVER1$
Account Domain: NY
Logon ID: 0x3e7
Account That Was Locked Out:
Security ID: NY\JoeSmith
Account Name: JoeSmith
Additional Information:
Caller Computer Name: NL
オカレンスごとに異なるActiveDirectoryユーザー名がありますが、残りはすべての場合で同じです。
ロックアウトの頻度と繰り返しは、誰かまたは何かがユーザー名のリストを実行し、それらのユーザーがロックアウトされるまでパスワードを推測しようとしていることを示唆しているように見えるので、これは私にとってすぐに危険信号です。
各イベントにCaller Computer Name: NL
という行が含まれていることに気付きました。これは、Microsoftのドキュメント 474 に次のように記載されています。
ログオン試行が受信され、その後ターゲットアカウントがロックアウトされたコンピュータアカウントの名前。
私の知る限り、これは誰かまたは何かがNL
資格情報を使用してNY
にログインしようとしていること、またはNL
マシン自体の何かがログインしようとしていることを意味しますNY
資格情報を使用して認証します。
ソースを見つけるために、NL
の[ローカルセキュリティポリシー]で次の監査ポリシーを有効にしました。
一時的な修正として、使用していないときはNL
VMをオフにし、マシンがオフラインの間はロックアウトを停止します。これは数週間続いています。今。
最近、私はNL
VMをオンラインで一晩放置してログを蓄積させたところ、見た目が良くありませんでした。NL
1秒間に複数回、一晩中:
Event Type: Failure Audit
Event Source: Security
Event Category: Account Logon
Event ID: 680
Date: 1/20/2020
Time: 8:31:24 PM
User: NT AUTHORITY\SYSTEM
Computer: NL
Description:
Logon attempt by: Microsoft_AUTHENTICATION_PACKAGE_V1_0
Logon account: Finance
Source Workstation: FINXFER
Error Code: 0xC000006A
に続く:
Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 1/20/2020
Time: 8:31:24 PM
User: NT AUTHORITY\SYSTEM
Computer: NL
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: Finance
Domain: FINXFER
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NETWARE_AUTHENTICATION_PACKAGE_V1_0
Workstation Name: FINXFER
これらを何度も繰り返した後、私はついにこのイベントを取得しました:
Event Type: Success Audit
Event Source: Security
Event Category: Account Management
Event ID: 644
Date: 1/20/2020
Time: 8:31:29 PM
User: NT AUTHORITY\SYSTEM
Computer: NL
Description:
User Account Locked Out:
Target Account Name: Administrator
Target Account ID: NL\Administrator
Caller Machine Name: FINXFER
Caller User Name: NL$
Caller Domain: NY
Caller Logon ID: (0x0,0x3E7)
これは、以前に見たランダムなユーザーではなく、「管理者」ログインのみを試行しているため、予想とは少し異なります。もちろん、管理者アカウントを実際にロックアウトすることはできないため、これが攻撃者である場合は、それが推測しようとするユーザーであることは理にかなっています。
さて、FINXFER
VMはネットワークを介して情報を転送しますが、してはいけませんNL
マシンで何でも、1秒間に複数回は絶対にしないでください。
アカウントのロックアウトを引き起こすこれらのログイン試行のソースを突き止めるために、他にどのようなツールを使用できますか、またはどのログを検索/有効化できますか? FNIXFER
のどのプログラムがログイン試行を開始しているかを確認するにはどうすればよいですか?
本当に Advanced Audit Policies を使用していて、グループポリシーを介してすべてのコンピューターに設定する必要があります。詳細ポリシーはより詳細で、より具体的な情報を提供します。
監査アカウントのロックアウト ポリシーに関する記事では、推奨されるGPO=設定-基本的に、すべて、DC、メンバーサーバー、ワークステーションの監査の失敗について説明しています。(「より強力な「成功とより強力な失敗」は、環境でより厳格な監査が必要な場合です。「一般的な成功/失敗」は、どこにでも適用する必要がある設定です。
セクションの先頭から始めて、推奨事項に沿ってすべての監査ポリシーを確認することをお勧めします。少なくとも、ログオン、Kerberos、または認証監査設定を有効にする必要があります。
ただし、メンバーサーバーには、特定のユーザーのログオンイベントが表示されますか?もしそうなら、彼らはどのようなログオンですか?インタラクティブ、ネットワーク...?ボックスで実行されているアプリケーションは何ですか?それはWebサーバー、ターミナルサーバーなどですか?ドメインユーザーコンテキストで実行されているスケジュールされたタスクはありますか? (SYSTEMではなく)またはADを照会している可能性のあるものはありますか?
私はお勧めします Netwrixアカウントロックアウト検査官 設定する必要があるポリシーを示し、ロックアウトがどこから来たかを正確に示すためです。
経験から:
誰かがネットワークにいる疑いがある場合(Xpがセキュリティパッチでしばらくサポートされていない可能性が高い)、XPマルウェアバイトまたはそれをサポートしているAVを搭載したマシンを確認してください)可能であれば、W10にアップグレードします(Microsoftは無料で提供しています)。
レガシーソフトウェアがあり、それをアップグレードできない場合は、ドメイン管理者がログインできず、ユーザーが管理者になるか、ネットワーク経由でアクセスできるように制限してください。