Kami memiliki akun domain yang dikunci melalui 1 dari 2 server. Audit internal hanya memberi tahu kita sebanyak itu (dikunci dari SERVER1, SERVER2).
Akun itu akan terkunci dalam 5 menit, sepertinya 1 permintaan per menit.
Saya awalnya mencoba menjalankan procmon (dari sysinternals) untuk melihat apakah ada PROSES MULAI yang baru saja muncul setelah saya membuka kunci akun. Tidak ada yang mencurigakan muncul. Setelah menjalankan procmon di workstation saya dan naik ke shell UAC (conscent.exe) sepertinya dari stack itu ntdll.dll
dan rpct4.dll
dipanggil ketika Anda mencoba untuk auth terhadap AD (tidak yakin).
Apakah ada cara untuk mempersempit proses yang menyebabkan permintaan otentikasi ke DC kami? Itu selalu DC yang sama jadi kami tahu itu pasti server di situs itu. Saya bisa mencoba mencari panggilan di wireshark, tapi saya tidak yakin itu akan mempersempit proses yang sebenarnya memicu itu.
Tidak ada layanan, pemetaan drive, atau tugas terjadwal yang menggunakan akun domain itu juga - jadi pasti ada sesuatu yang menyimpan kredibilitas domain. Tidak ada sesi RDP terbuka dengan akun domain itu di server mana pun (kami memeriksa).
Catatan selanjutnya
Ya, "Keberhasilan / Kegagalan" Audit Masuk diaktifkan pada DC yang bersangkutan - tidak ada peristiwa kegagalan dicatat hingga akun tersebut benar-benar dikunci.
Menggali lebih lanjut menunjukkan bahwa LSASS.exe
membuat KERBEROS
panggilan ke DC dalam pertanyaan setelah akun dibuka. Itu didahului (umumnya) oleh java yang tampaknya dipanggil oleh vpxd.exe
yang merupakan proses vCenter. TETAPI, ketika saya melihat "server2" lainnya di mana penguncian akun dapat (juga) terjadi, saya tidak pernah melihat panggilan ke lsass.exe
dan hanya proses apache yang muncul. Satu-satunya hubungan keduanya adalah bahwa SERVER2 adalah bagian dari cluster vSphere SERVER1 (server1 menjadi OS vSphere).
Kesalahan pada DC
Jadi, sepertinya semua yang akan saya sampaikan kepada AD adalah bahwa itu adalah kesalahan Kerberos pra-auth. Saya memeriksa dan tidak ada tiket dengan klist
dan melakukan flush untuk berjaga-jaga. Masih belum tahu apa yang menyebabkan kesalahan kerberos ini.
Index : 202500597
EntryType : FailureAudit
InstanceId : 4771
Message : Kerberos pre-authentication failed.
Account Information:
Security ID: S-1-5-21-3381590919-2827822839-3002869273-5848
Account Name: USER
Service Information:
Service Name: krbtgt/DOMAIN
Network Information:
Client Address: ::ffff:x.x.x.x
Client Port: 61450
Additional Information:
Ticket Options: 0x40810010
Failure Code: 0x18
Pre-Authentication Type: 2
Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
Certificate information is only provided if a certificate was used for pre-authentication.
Pre-authentication types, ticket options and failure codes are defined in RFC 4120.
If the ticket was malformed or damaged during transit and could not be decrypted, then many fields
in this event might not be present.
sumber
Saya menemukan pertanyaan lama ini saat meneliti masalah yang berbeda, tetapi bagi siapa pun yang memiliki masalah serupa:
Kode kegagalan 0x18 berarti bahwa akun sudah dinonaktifkan atau dikunci ketika klien berusaha untuk mengotentikasi.
Anda perlu menemukan ID Peristiwa yang sama dengan kode kegagalan 0x24 , yang akan mengidentifikasi upaya login yang gagal yang menyebabkan akun terkunci. (Ini mengasumsikan itu terjadi karena kata sandi di-cache yang buruk di suatu tempat.)
Anda kemudian dapat melihat Alamat Klien pada peristiwa-peristiwa itu untuk melihat sistem mana yang melewati kredensial buruk. Dari sana, Anda harus mencari tahu apakah itu layanan dengan kata sandi lama, drive jaringan yang dipetakan, dll.
Ada berbagai kode kegagalan, jadi Anda harus mencari apa pun selain 0x18 untuk menentukan apa yang menyebabkan penguncian akun jika tidak ada peristiwa dengan kode 0x24. Saya percaya satu-satunya jenis kegagalan yang akan menyebabkan lockout adalah 0x24 (kata sandi buruk), tapi saya bisa saja salah.
sumber
Kerberos 0x18 memang merupakan upaya kata sandi yang buruk.
Kerberos 0x12 adalah akun yang dinonaktifkan, kedaluwarsa, dikunci, atau pembatasan jam masuk.
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4771
sumber
Saya telah menghabiskan banyak waktu hari ini dan mencari tahu akar masalahnya. Saya salah jalan - dari info yang diambil dengan sniffer jaringan (proses kesalahan kerberos adalah 566 = lsass.exe). Biarkan saya meringkas informasi.
Masuk ke PC bermasalah, jalankan PowerShell dengan hak tinggi
Aktifkan info masuk audit
auditpol /set /subcategory:"logon" /failure:enable
Periksa sumbernya
Get-WinEvent -Logname 'Security' -FilterXPath "*[System[EventID=4625]]" -MaxEvents 2 | fl
Jika kamu melihat:
Ini berarti bahwa Anda memiliki beberapa layanan yang berjalan dari akun bermasalah dengan kata sandi lama
sumber
Ini dari catatan di atas. Sepertinya penggagas pos ini dinyatakan pada komentar terakhirnya. Java memanggil proses vpxd.exe.
Catatan lebih lanjut Ya, "Keberhasilan / Kegagalan" Audit Masuk diaktifkan pada DC yang bersangkutan - tidak ada peristiwa kegagalan dicatat hingga akun tersebut benar-benar dikunci.
Penggalian lebih lanjut menunjukkan bahwa LSASS.exe membuat panggilan KERBEROS ke DC yang dipermasalahkan begitu akun dibuka kuncinya. Itu didahului (umumnya) oleh java yang tampaknya dipanggil oleh vpxd.exe yang merupakan proses vCenter. TETAPI, ketika saya melihat "server2" lainnya di mana penguncian akun dapat (juga) terjadi, saya tidak pernah melihat panggilan ke lsass.exe dan hanya proses apache yang muncul. Satu-satunya hubungan keduanya adalah bahwa SERVER2 adalah bagian dari cluster vSphere SERVER1 (server1 menjadi OS vSphere).
sumber