我们有一个域,里面有大约 15 台服务器和大约 30 台工作站。服务器大多是 2008r2,工作站大多是 Windows 7。两个 DC 是 2012r2。每隔几周,我们的一个管理员帐户就会被锁定。我试图缩小原因范围,但已经陷入了困境。
这是我所拥有的。
PDC 上的事件日志显示事件 4776-审核成功:
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: username
Source Workstation:
Error Code: 0x0
所有这些都针对同一个用户名并且每秒重复几次。
根据事件 ID,这些是 NTLM 登录,而不是 Kerberos。尽管对我来说,使用的身份验证类型不如其数量那么令人担忧。这种情况每秒发生几次,并且每隔几秒钟就会无限重复,无论白天、晚上还是周末。
事件日志还显示此用户名的审核成功事件 ID 4624(登录)和 4634(注销),但与上述事件一样,“工作站”字段为空。
我启用了详细的 netlogon 日志记录,并且 netlogon.log 显示
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Entered
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Returns 0x0
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Entered
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Returns 0x0
等等。这些登录的明显来源(通过 XYZ)可能包括来自网络的工作站和服务器。
显然,这看起来像是自动化或脚本。由于登录通常都成功,因此我不认为这是入侵尝试。但是,有些登录确实会不时失败,但我没有发现失败的任何模式,而且它们发生的频率非常低,以至于(大多数日子里)它们不会锁定帐户。如果出现失败代码,通常是0xc0000022(拒绝访问)
我已经禁用并卸载了其中一台服务器上的远程监控代理(目前是 Kaseya,但我们最终将迁移到 LabTech),但仍看到来自该服务器的新事件,因此排除了自动化任务。我还检查了几台服务器上的任务调度程序,没有发现任何异常。我检查了服务以验证登录帐户,发现该帐户未在任何服务中使用。
我运行 Netstat 很长一段时间,主要看到来自“系统”和“系统空闲进程”到 PDC 的连接。我确实看到偶尔有来自 spoolsrv、lsass 和 ismserv 的连接(我测试的服务器是 Citrix XenApp 服务器,但其他“源”服务器不在 XenApp 场中,当然“源”工作站也不在)。我停止了打印后台处理程序服务只是为了测试,它对登录事件没有影响。
我在一家 MSP 工作,这是我们的主要技术人员 dom 管理员帐户,因此,确保其正常运行和安全是重中之重。我剩下的最后一个想法是更改密码,看看会有什么问题,但如果不知道该帐户的用途,这可能会带来灾难性的后果。然而,我怀疑这可能只是一个配置错误的 AD。
有人曾经经历过类似的事情并且能够确定其根源吗?
答案1
我建议进一步在您的 DC 上启用 NTLM 审核。使用默认域控制器策略,启用以下策略设置:
网络安全:限制 NTLM:审核传入流量 =为所有账户启用审计 网络安全:限制 NTLM:审核此域中的 NTLM 身份验证 =全部启用 网络安全:限制 NTLM:到远程服务器的传出 NTLM 流量 =全部审核
https://support.symantec.com/en_US/article.HOWTO79508.html
启用后,在事件查看器中导航至:应用程序和服务日志 > Microsoft > Windows > NTLM > 操作
将会有事件的时间戳与您的 netlogon 事件时间戳相匹配。此日志将显示实际的工作站名称。
具体来说,为了帮助您进一步识别来源,此日志中的安全通道名称将有助于缩小进程起源。