ActiveDirectoryユーザーのロックアウトの原因を追跡する

問題

突然、この組織のシステムの多くのユーザーが、Active Directoryアカウントからロックアウトされたと報告し始めました。

環境

ネットワーク全体が物理的かつローカルです。直接インターネットアクセスはありません。 VPNを介してローカルネットワークをより広範な企業ネットワークに接続するファイアウォールがあります。ローカルネットワークのコンポーネントは次のとおりです。

• NY：ActiveDirectoryドメイン。
• server1：Windows Server 2008 R2; NYのActiveDirectoryドメインコントローラー;リモートデスクトップライセンスサーバー; HyperV VMホスト;管理者のみが接続を許可されます。
• server2：Windows Server 2008 R2;リモートデスクトップセッションホスト; NYのメンバー;ユーザーは定期的にこのマシンに接続してドキュメントを処理します。
• NL：Windows XP; VM server1でホストされているHyperVで実行; NYのメンバー;毎週定期的に一部のユーザー（おそらく3人）のみが使用します。
• FINXFER：Windows XP; VM server1でホストされているHyperVで実行; NYのメンバー;は、ネットワークを介して定期的にデータを転送する適切なソフトウェアを実行します。
• 他のさまざまなWindows XP server1で実行されているVMで、ほとんどがバックグラウンドサービスを実行し、通常はリモートデスクトップを使用して接続されていません。
• 上記へのリモートデスクトップ接続に使用されるさまざまなHPシンクライアントマシン。

私の調査

まず、server1（ドメインコントローラー）のイベントログを確認しました。イベントをフィルタリングしました 4740 "ユーザーアカウントがロックアウトされました" そして、このイベントが2〜3分に1回発生したことがわかりました。

イベントが発生するたびに、次のようになります。

A user account was locked out.

Subject:
    Security ID:        SYSTEM
    Account Name:       SERVER1$
    Account Domain:     NY
    Logon ID:       0x3e7

Account That Was Locked Out:
    Security ID:        NY\JoeSmith
    Account Name:       JoeSmith

Additional Information:
    Caller Computer Name:   NL

オカレンスごとに異なるActiveDirectoryユーザー名がありますが、残りはすべての場合で同じです。

ロックアウトの頻度と繰り返しは、誰かまたは何かがユーザー名のリストを実行し、それらのユーザーがロックアウトされるまでパスワードを推測しようとしていることを示唆しているように見えるので、これは私にとってすぐに危険信号です。

各イベントにCaller Computer Name: NLという行が含まれていることに気付きました。これは、Microsoftのドキュメント 474 に次のように記載されています。

ログオン試行が受信され、その後ターゲットアカウントがロックアウトされたコンピュータアカウントの名前。

私の知る限り、これは誰かまたは何かがNL資格情報を使用してNYにログインしようとしていること、またはNLマシン自体の何かがログインしようとしていることを意味しますNY資格情報を使用して認証します。

ソースを見つけるために、NLの[ローカルセキュリティポリシー]で次の監査ポリシーを有効にしました。

一時的な修正として、使用していないときはNL VMをオフにし、マシンがオフラインの間はロックアウトを停止します。これは数週間続いています。今。

最近、私はNL VMをオンラインで一晩放置してログを蓄積させたところ、見た目が良くありませんでした。NL 1秒間に複数回、一晩中：

Event Type: Failure Audit
Event Source:   Security
Event Category: Account Logon 
Event ID:   680
Date:       1/20/2020
Time:       8:31:24 PM
User:       NT AUTHORITY\SYSTEM
Computer:   NL
Description:
Logon attempt by: Microsoft_AUTHENTICATION_PACKAGE_V1_0
 Logon account:  Finance
 Source Workstation: FINXFER
 Error Code: 0xC000006A

に続く：

Event Type: Failure Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:   529
Date:       1/20/2020
Time:       8:31:24 PM
User:       NT AUTHORITY\SYSTEM
Computer:   NL
Description:
Logon Failure:
    Reason:     Unknown user name or bad password
    User Name:  Finance
    Domain:     FINXFER
    Logon Type: 3
    Logon Process:  NtLmSsp 
    Authentication Package: NETWARE_AUTHENTICATION_PACKAGE_V1_0
    Workstation Name:   FINXFER

これらを何度も繰り返した後、私はついにこのイベントを取得しました：

Event Type: Success Audit
Event Source:   Security
Event Category: Account Management 
Event ID:   644
Date:       1/20/2020
Time:       8:31:29 PM
User:       NT AUTHORITY\SYSTEM
Computer:   NL
Description:
User Account Locked Out:
    Target Account Name:    Administrator
    Target Account ID:  NL\Administrator
    Caller Machine Name:    FINXFER
    Caller User Name:   NL$
    Caller Domain:  NY
    Caller Logon ID:    (0x0,0x3E7)

これは、以前に見たランダムなユーザーではなく、「管理者」ログインのみを試行しているため、予想とは少し異なります。もちろん、管理者アカウントを実際にロックアウトすることはできないため、これが攻撃者である場合は、それが推測しようとするユーザーであることは理にかなっています。

さて、FINXFER VMはネットワークを介して情報を転送しますが、してはいけませんNLマシンで何でも、1秒間に複数回は絶対にしないでください。

アイデア？

アカウントのロックアウトを引き起こすこれらのログイン試行のソースを突き止めるために、他にどのようなツールを使用できますか、またはどのログを検索/有効化できますか？ FNIXFERのどのプログラムがログイン試行を開始しているかを確認するにはどうすればよいですか？