常常出現,帳戶鎖定!

前一陣子老師有說到使用者登入次數的部份，


剛好看到資安論壇有人發問相關問題，就PO上來，供大家參考http://forum.icst.org.tw/phpbb/viewtopic.php?f=22&t=17442



Lobo發問

因為公司有設定密碼錯誤3次即鎖定帳戶,最近常常出現帳戶鎖定的情況~

我猜可能有人中毒,但有點不知從那裡查起,

我的資質愚昧,事件檢視器裡好像也看不出什麼,

不知道可不可以給小弟一個操作方向或是建議,感激不盡!!

-------------------------------------以下為部份回覆-------------------------------------

門神回覆

三次太少~~微軟規定最合理的設置為11次還是13次的樣子,有點忘了

帳戶鎖定,以前我的處理方法是我們AD上有做事件監控,在發生帳戶鎖定時,系統會自動在第一時間通知管理者,並自動分類是try帳密事件還是單純密碼連續失效

當時發生帳戶鎖定,我們會第一時間打給機器擁有者確定發生了甚麼事情(假設A user在B user的電腦觸發事件,我們是找B user的)

一開始約不到1個禮拜就抓出造成帳戶鎖定的程式了~~很方便~~



Lobo詢問

有關AD上有做事件監控,

怎麼自動分類是try帳密事件還是單純密碼連續失效~

可以給我這個學習者秘笈或是自修方向,大恩不言謝



門神回覆

Microsoft Operations Manager



yoshiotw回覆

微軟有提供相關參考工具供查詢:

http://www.google.com.tw/search?q=Accou ... bMt+Status

解除鎖定vbs腳本程式:

http://www.google.com.tw/search?q=AD+Ac ... +%3D+False



remarklin回覆

小弟初管AD時也常常發現會有使用者莫名其妙被鎖定....（大約是500~600User)

那時候去看事件紀錄也看了很久，後來是發現到某台電腦有很多Administrator的登入要求，也懷疑是否有人為或者病毒

在try密碼，可是又不是很固定的發生....後來我是先把Administrator的「登入帳號」給改了，避免一直被try...

但是很神奇的是，改了之後就很少發生使用者莫名被lock的情形了，至於原因小弟也沒辦法搞清楚....



其它的鎖定原因小弟猜想大概有幾個會存帳號的地方：

排程(要設定執行帳號密碼)

連線網路磁碟機(有設定用其它使用者登入）

在使用者修改密碼後常常容易忘記這幾個地方，會造成當他開機或時間到自動觸發就登入（尤其網路磁碟機會try好幾次）



小弟初管AD時也常常發現會有使用者莫名其妙被鎖定....（大約是500~600User)

那時候去看事件紀錄也看了很久，後來是發現到某台電腦有很多Administrator的登入要求，也懷疑是否有人為或者病毒

在try密碼，可是又不是很固定的發生....後來我是先把Administrator的「登入帳號」給改了，避免一直被try...

但是很神奇的是，改了之後就很少發生使用者莫名被lock的情形了，至於原因小弟也沒辦法搞清楚....



其它的鎖定原因小弟猜想大概有幾個會存帳號的地方：

排程(要設定執行帳號密碼)

連線網路磁碟機(有設定用其它使用者登入）

在使用者修改密碼後常常容易忘記這幾個地方，會造成當他開機或時間到自動觸發就登入（尤其網路磁碟機會try好幾次）



remarklin回覆

小弟初管AD時也常常發現會有使用者莫名其妙被鎖定....（大約是500~600User)

那時候去看事件紀錄也看了很久，後來是發現到某台電腦有很多Administrator的登入要求，也懷疑是否有人為或者病毒

在try密碼，可是又不是很固定的發生....後來我是先把Administrator的「登入帳號」給改了，避免一直被try...

但是很神奇的是，改了之後就很少發生使用者莫名被lock的情形了，至於原因小弟也沒辦法搞清楚....



其它的鎖定原因小弟猜想大概有幾個會存帳號的地方：

排程(要設定執行帳號密碼)

連線網路磁碟機(有設定用其它使用者登入）

在使用者修改密碼後常常容易忘記這幾個地方，會造成當他開機或時間到自動觸發就登入（尤其網路磁碟機會try好幾次）



chencc回覆

1.Conficker Worm資料可以搜尋一下

http://support.microsoft.com/kb/962007

http://ithelp.ithome.com.tw/question/10019391

2.不要任意調高錯誤鎖定，這不是治本方式

3.注意網域主機事件狀況

4.密碼最小長度與記憶次數建議調高，避免密碼被try出機會



cheneyen回覆

以多層架構來說~密碼錯誤鎖定原則過低,是很容易造成一些不必要的困擾,所以才說13次是有所本

在AD產生的event中又分兩類(其實印象中是四類才對,我們只抓其中兩類來用)

1:鎖定帳號存在但密碼錯誤次數過多

2:帳號不存在的嘗試event

這兩個不同的event分類,實屬同一個event id~~可是卻有辦法準確抓出trigger出該event的電腦以及實際分類~~

實務上我們確實有利用MOM來做出來一些防範機制~~因為那是兩三年前多搞的東西~~早就是outdated的技術~~且不是大家都會用到就不獻寶了~~

祝原POST能找到一個適合自己公司的方法來作~~



個人心得：

1.密碼錯誤次數設定太低，可能會增加很多使用者需求協助解決鎖定事件，

但如果設定太高，可能會增加嘗試帳密的機會

2.經常注意網域主機事件狀況，尢其是小細節，一開始都是有一點小狀況，不理會的話，後來會愈來愈糟糕

3.密碼最小長度與記憶次數建議調高，避免密碼被試出的機會

4.使用Microsoft Operations Manager和其它微軟工具，找出是嘗試帳密事件還是單純密碼連續失效等情況



以上為看完此篇文章後，一點點小心得，供大家參考或進行討論，謝謝!!