午夜发生“帐户被锁定”安全事件

午夜发生“帐户被锁定”安全事件

最近三个午夜,我在日志中收到了事件 ID 539...关于我自己的帐户:

Event Type: Failure Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:   539
Date:       2010-04-26
Time:       12:00:20 AM
User:       NT AUTHORITY\SYSTEM
Computer:   SERVERNAME
Description:
Logon Failure:
    Reason:     Account locked out
    User Name:  MyUser
    Domain: MYDOMAIN
    Logon Type: 3
    Logon Process:  NtLmSsp 
    Authentication Package: NTLM
    Workstation Name:   SERVERNAME
    Caller User Name:   -
    Caller Domain:  -
    Caller Logon ID:    -
    Caller Process ID: -
    Transited Services: -
    Source Network Address: -
    Source Port:    -

它总是在午夜前半分钟内。在此之前没有登录尝试。紧接着(在同一秒内)有一个成功审计条目:

Logon attempt using explicit credentials:
 Logged on user:
    User Name:  SERVERNAME$
    Domain:     MYDOMAIN
    Logon ID:       (0x0,0x3E7)
    Logon GUID: -
 User whose credentials were used:
    Target User Name:   MyUser
    Target Domain:  MYDOMAIN
    Target Logon GUID: -

 Target Server Name:    servername.mydomain.lan
 Target Server Info:    servername.mydomain.lan
 Caller Process ID: 2724
 Source Network Address:    -
 Source Port:   -

这三个进程的进程 ID 是相同的,因此我查了一下,现在至少它映射到 TCP/IP 服务(Microsoft)。

我不认为我周五改变了任何政策或任何事情。我该如何解释这一点?

答案1

您是否有一个在您的帐户下运行的计划任务,该任务在午夜连接到共享?事件 ID 552(第二个事件)通常在用户(在本例中为系统)使用 runas 以另一个帐户身份运行进程时生成。

但是,仔细查看后,登录 ID:(0x0,0x3E7) 表明,执行模拟的是服务。仔细查看机器上的服务。如果另一台机器正在使用您的凭据映射驱动器,并且保存的凭据已过期,您也可能会得到此信息。由于服务是 tcpip,所以我现在就押注于此。

答案2

帐户锁定可能很难解决。我的第一个建议是获取帐户锁定工具来自微软。

使用这些工具,您可以确定哪些 DC 确实锁定了帐户。然后,您需要在安全日志中进行一些侦查,以找出导致锁定的服务器,然后您就可以确定该服务器上的哪些内容锁定了您的帐户。

答案3

这可能是自动事件,例如使用您的凭据运行的服务。跳转到服务器并按services.msc“登录身份”字段排序,看看您是否在其中。

答案4

您可能已使用您的用户 ID 安装了程序或服务。这些很可能是备份软件或任何类似的服务/任务。您无法从“计划任务”中找到所有计划任务,请查看您的自动服务、IIS、Backup Exec 等。

相关内容