Kami memiliki domain dengan sekitar 15 server dan sekitar 30 workstation. Server sebagian besar 2008r2 dan workstation kebanyakan Windows 7. Kedua DCs adalah 2012r2. Setiap beberapa minggu, salah satu akun admin kami dikunci. Saya mencoba untuk mempersempit penyebabnya dan saya telah menemui jalan buntu.
Inilah yang saya miliki.
Log peristiwa di PDC menunjukkan acara 4776 - keberhasilan audit:
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: username
Source Workstation:
Error Code: 0x0
Semua untuk nama pengguna yang sama dan berulang beberapa kali dalam satu detik.
Berdasarkan ID peristiwa, ini adalah login NTLM daripada Kerberos. Meskipun jenis otentikasi yang digunakan kurang mengkhawatirkan bagi saya daripada jumlah geser. Ini terjadi beberapa kali per detik dan berulang setiap beberapa detik tanpa batas, sepanjang jam, malam, atau akhir pekan.
Log peristiwa juga menunjukkan audit event ID 4624 (masuk) dan 4634 (masuk) untuk nama pengguna ini, tetapi seperti dalam kejadian di atas bidang "workstation" kosong.
Saya mengaktifkan logging log netlogon dan menunjukkan netlogon.log
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Entered
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Returns 0x0
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Entered
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Returns 0x0
Dan seterusnya dan seterusnya. Sumber yang jelas dari login ini (melalui XYZ) dapat mencakup workstation dan server dari seluruh jaringan.
Jelas ini terlihat seperti otomatisasi atau skrip. Karena proses masuk secara umum semuanya berhasil, saya tidak percaya ini merupakan upaya intrusi. Namun, beberapa login gagal dari waktu ke waktu, tetapi saya belum mengidentifikasi pola kegagalan tersebut dan jarang terjadi sehingga (hampir setiap hari) mereka tidak mengunci akun. Kode kegagalan ketika ada biasanya 0xc0000022 (Akses Ditolak)
Saya telah menonaktifkan dan menghapus agen pemantauan jarak jauh kami (saat ini Kaseya, tapi kami akhirnya pindah ke LabTech) dari salah satu server, tetapi masih melihat peristiwa baru yang berasal dari server itu, jadi ini mengesampingkan tugas otomatisasi. Saya juga telah memeriksa penjadwal tugas pada beberapa server dan tidak menemukan yang luar biasa. Saya telah memeriksa layanan untuk memverifikasi akun masuk dan akun ini tidak digunakan dalam layanan apa pun.
Saya menjalankan Netstat untuk waktu yang lama dan terutama melihat koneksi ke PDC dari "System" dan "System Idle Process". Saya memang melihat koneksi sesekali dari spoolsrv dan lsass dan ismserv (server yang saya uji adalah server Citrix XenApp, tetapi server "sumber" lainnya tidak ada di farm XenApp, dan tentu saja workstation "sumber" juga tidak ada). Saya menghentikan layanan spooler cetak hanya untuk menguji dan tidak berdampak pada peristiwa masuk.
Saya bekerja di MSP dan ini adalah akun admin dom teknisi utama kami, jadi ini prioritas tinggi agar berfungsi dan aman. Gagasan terakhir yang saya miliki adalah mengubah kata sandi dan melihat apa yang rusak, tetapi tanpa mengetahui akun apa yang sedang digunakan untuk hal ini dapat memiliki konsekuensi yang berpotensi menimbulkan bencana. Namun, kecurigaan saya adalah bahwa ini mungkin hanya AD yang salah konfigurasi.
Adakah yang pernah mengalami hal seperti ini sebelumnya dan dapat mengidentifikasi sumbernya?
Jawaban:
Saya merekomendasikan lebih lanjut mengaktifkan audit NTLM di DC Anda. Menggunakan Kebijakan Pengontrol Domain Default, aktifkan pengaturan kebijakan berikut:
Keamanan jaringan: Batasi NTLM: Audit Lalu Lintas Masuk = Aktifkan audit untuk semua akun Keamanan jaringan: Batasi NTLM: Audit otentikasi NTLM dalam domain ini = Aktifkan semua Keamanan jaringan: Batasi NTLM: Lalu lintas NTLM yang keluar ke server jauh = Audit Semua
https://support.symantec.com/en_US/article.HOWTO79508.html
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/jj865682(v=ws.10)
Setelah diaktifkan, Arahkan di penampil acara Anda ke: Aplikasi dan Log Layanan> Microsoft> Windows> NTLM> Operasional
Akan ada acara dengan cap waktu yang cocok dengan cap waktu acara netlogon Anda. Log ini akan mengungkapkan Nama Workstation yang sebenarnya.
Dan khusus untuk membantu Anda mengidentifikasi lebih jauh sumbernya, Nama Saluran Aman di log ini akan membantu mempersempit proses awal.
sumber