一次身份验证失败后帐户被锁定

Question 1

我不确定您对 Wireshark 的熟悉程度，因此如果这篇文章太冗长或简洁，我深表歉意。;-)

本质上，您需要在任一端安装并启动 Wireshark（无论哪一端），然后开始在适当的界面上捕获：

在 Wireshark 中，点击Capture菜单，然后Options…
选择适当的接口。
由于您提到您不在域中，我建议输入一个Capture Filter来限制捕获的流量，例如：
host 169.254.255.127
IP 地址应该是偏僻的主持人。
Start捕获，然后尝试浏览共享。
等到共享出现，或者出现无效的用户名/密码框，然后停止捕获。

我建议您在每个位置执行两次此操作；第一次，使用正确的用户名和密码；第二次，使用无效的用户名和/或密码。在每次尝试之间，请务必断开与远程共享的连接（以便它重新请求身份验证），方法是：

net use \\remoteserver\SharedFolder /delete

我们在这里寻找的是SMB数据，因此删除所有不相关的内容的第一种方法是应用一个简单的显示过滤器在Filter:工具栏中的字段中：

smb

一开始，你应该看到现场主要有三种类型的传输Info：

Negotiate Protocol Request/Response
这些显示了客户端支持的协议以及服务器接受的协议。您可以在此Packet details部分展开它以查看服务器是否正在使用 NTLM、Kerberos 等。
Session Setup AndX Request/Response
这是身份验证，希望以质询/响应方式进行。您将看到Response来自服务器的几种可能：
- STATUS_MORE_PROCESSING_REQUIRED：身份验证正在进行中。
- STATUS_LOGON_FAILURE：这是登录失败——您会对这些最感兴趣！
- （无），在这种情况下，您可以展开SMB>SMB Header并查找NT Status: STATUS_SUCCESS，这表示身份验证成功。
Tree Connect AndX Request/Response
这是客户端要求连接到服务器上的特定位置；您通常会看到访问IPC$以及您真正想要的共享。

因此，您实际上要查找的是显示以下内容的行STATUS_LOGON_FAILURE。然后，查看该行上方的一行以查看哪个用户身份验证失败。

现在，每次浏览共享时，登录失败都是很常见的情况；这是因为 Windows 首先尝试使用已登录的用户帐户进行身份验证。因此，即使是在“现代”操作系统系列（2k3、Vista、2k8）之间，登录失败也不足为奇。

LOCALCOMPUTER\localuser当我之前运行此测试时，在尝试使用之前，我看到了三次登录失败REMOTECOMPUTER\remoteuser（在我的情况下，第一次尝试就成功了）。当我在另一个域上的机器上尝试时，我遇到了十次登录失败！这还是在它提示我输入备用凭据之前。

如果您想要过滤掉除身份验证之外的所有内容，请将显示过滤器更改为：

smb.cmd == 0x73

要查看所有登录失败的列表，请将显示过滤器更改为：

smb.nt_status == 0xc000006d

请记住，这些登录失败可能不会产生任何影响，因为通常该帐户不会存在于远程计算机上（因此不存在所谓的“负面会计”）。

编辑：当提示输入备用凭证时，您可能需要暂停几秒钟，这样您就能清楚地知道哪些身份验证失败属于“自动”尝试，哪些属于您故意输入错误的凭证。

让我们知道你发现什么！

Answer