对于我所在的拥有约 6000 名用户的组织,我只做了三件事。
- 将“默认域策略”密码要求设置为“未定义”
- 为域用户设置精细的 8 个基本字符密码策略,并增加复杂性
- 为 IT 部门(IT 组约 100 人)制定细粒度密码策略,规则更为严格,并赋予其更高的优先级
我为域用户提供 FGPP 的原因是为了能够调整优先级。
从那以后,我的 6000 名用户中的大多数都没有遇到任何问题。但是,大约有十几名 IT 员工在锁定屏幕并尝试再次登录时,他们的帐户被锁定。
我使用过 lockoutstatus.exe 并发现我们的三个 DC 中有两个受到了错误密码的攻击,但我无法确定是什么原因造成的。
这是一个单独的问题,但我们的事件查看器日志会在 20 分钟后自行覆盖,很难对其进行分类,我们每小时收到大约一百万个事件,而事件视图每个类别仅存储 8GB。我提出这个问题是因为我无法可靠地使用我们 DC 上的事件查看器来帮助查明这一点。
虽然我们强迫一些用户更改密码,但其中两名遇到此问题的用户无需强制重置密码,因此他们的凭证在整个过程中都没有发生任何改变。
有什么工具或提示可以帮助我吗?
答案1
如果您在业务中使用 RADIUS 身份验证,当设备(如手持电话)使用带有用户 AD 密码的 WIFI 时,我也会遇到类似的问题。
该设备导致帐户被锁定。
如果您在安全事件日志中可以捕获错误日志,则在帐户失败审核中发生错误时,您将看到源 IP 为 0.0.0.0。该 IP 未设置为工作站或设备,因为审核/登录失败的是域控制器上的本地 radius 客户端。