Cara menemukan penyebab akun pengguna terkunci di domain Windows AD

Setelah kejadian baru-baru ini dengan Outlook, saya bertanya-tanya bagaimana saya akan paling efisien menyelesaikan masalah berikut:

Asumsikan infrastruktur AD kecil hingga menengah yang cukup khas: beberapa DC, sejumlah server internal dan klien windows, beberapa layanan menggunakan AD dan LDAP untuk otentikasi pengguna dari dalam DMZ (relai SMTP, VPN, Citrix, dll.) Dan beberapa internal semua layanan bergantung pada AD untuk otentikasi (Exchange, SQL server, server file dan cetak, server layanan terminal). Anda memiliki akses penuh ke semua sistem tetapi jumlahnya terlalu banyak (termasuk klien) untuk diperiksa secara individual.

Sekarang asumsikan bahwa, untuk alasan yang tidak diketahui, satu (atau lebih) akun pengguna dikunci karena kebijakan penguncian kata sandi setiap beberapa menit.

• Apa cara terbaik untuk menemukan layanan / mesin yang bertanggung jawab untuk ini?
• Anggap infrastrukturnya murni, Windows standar tanpa alat manajemen tambahan dan sedikit perubahan dari standar, adakah cara menemukan penyebab penguncian tersebut dapat dipercepat atau ditingkatkan?
• Apa yang bisa dilakukan untuk meningkatkan ketahanan sistem terhadap penguncian akun seperti DOS? Menonaktifkan penguncian akun adalah jawaban yang jelas, tetapi kemudian Anda mengalami masalah pengguna memiliki cara untuk mengeksploitasi kata sandi dengan mudah, bahkan dengan kompleksitas yang ditegakkan.

Menambahkan sesuatu yang tidak saya lihat di jawaban yang diberikan.

Apa cara terbaik untuk menemukan layanan / mesin yang bertanggung jawab untuk ini?

Anda tidak bisa hanya melihat log Keamanan di PDCe, karena, meskipun PDCe memang memiliki informasi terbaru tentang penguncian akun untuk seluruh domain, ia tidak memiliki informasi tentang dari mana klien (IP atau hostname) upaya logon gagal berasal, dengan asumsi bahwa upaya logon gagal terjadi pada DC lain selain PDCe. PDCe akan mengatakan bahwa "Akun xyz dikunci," tetapi tidak akan mengatakan dari mana, jika login gagal terjadi pada DC lain di domain. Hanya DC yang benar-benar memvalidasi masuk yang akan mencatat kegagalan masuk, termasuk alamat klien. (Juga tidak membawa RODC ke dalam diskusi ini.)

Ada dua cara yang baik untuk mengetahui dari mana upaya masuk yang gagal berasal ketika Anda memiliki beberapa pengontrol domain. Penerusan acara , dan Alat Penguncian Akun Microsoft .

Saya lebih suka penerusan acara ke lokasi pusat. Teruskan upaya logon yang gagal dari semua pengontrol domain Anda ke server logging pusat. Maka Anda hanya memiliki satu tempat untuk mencari login gagal di seluruh domain Anda. Sebenarnya saya pribadi tidak terlalu menyukai alat Penguncian Akun Microsoft, jadi sekarang ada satu cara yang baik.

Penerusan acara. Kamu akan menyukainya.

Anggap infrastrukturnya murni, Windows standar tanpa alat manajemen tambahan dan sedikit perubahan dari standar, adakah cara menemukan penyebab penguncian tersebut dapat dipercepat atau ditingkatkan?

Lihat di atas. Anda kemudian dapat memiliki sistem pemantauan, seperti SCOM atau Nagios atau apa pun yang Anda gunakan, menyisir log peristiwa tunggal itu dan meledakkan ponsel Anda dengan pesan teks atau apa pun. Itu tidak mendapatkan lebih cepat dari itu.

Apa yang bisa dilakukan untuk meningkatkan ketahanan sistem terhadap penguncian akun seperti DOS?

1. Pendidikan pengguna. Beri tahu mereka untuk berhenti menyiapkan layanan Windows untuk berjalan di bawah akun pengguna domain mereka, keluar dari sesi RDP ketika sudah selesai, ajari mereka cara menghapus Vault Kredensial Windows dari kata sandi yang di-cache untuk Outlook, dll.
2. Gunakan Akun Layanan Terkelola di mana Anda dapat sehingga pengguna tidak lagi harus mengelola kata sandi untuk akun pengguna tersebut. Pengguna mengacaukan segalanya. Jika Anda memberi pengguna pilihan, ia akan selalu membuat pilihan yang salah. Jadi jangan beri mereka pilihan.
3. Menegakkan batas waktu sesi jarak jauh melalui GPO. Jika pengguna menganggur dalam sesi RDP selama 6 jam, tendang mereka.

Kami memiliki masalah yang sama saat membersihkan akun admin di lingkungan yang lebih besar beberapa waktu lalu. Meskipun log audit DC secara teknis memberikan info yang diperlukan, kami memutuskan untuk mengimplementasikan produk ADAudit Plus dari ManageEngine, yang memindai log ini dan mencari upaya logon, bersama dengan perubahan dalam AD. Dengan menggunakan fitur pelaporan bawaan dan sedikit kerja Excel, kami dapat melacak (cukup mudah) dari mana masuknya log masuk. Dalam kasus kami, sebagian besar terkait dengan admin yang menggunakan akun admin alih-alih akun layanan saat menerapkan berbagai aplikasi.

Apa yang bisa dilakukan untuk meningkatkan ketahanan sistem terhadap penguncian akun seperti DOS?

Kamu tidak bisa

Ada banyak hal yang dapat membakar rumah Anda. Seperti kode sederhana untuk berulang kali meminta alamat IP sampai lingkup DHCP habis. Atau kode sederhana yang membuat direktori hingga MFT penuh dan Anda harus memformat ulang partisi Anda untuk mengembalikannya. Anda tidak dapat melindungi dari segalanya.

Skenario yang lebih umum dengan penguncian adalah orang-orang yang memasukkan kredensial mereka dalam beragam perangkat yang lebih luas daripada yang biasa beberapa tahun yang lalu. Seperti printer (untuk memindai email), atau ponsel cerdas atau tablet. Jika mereka lupa di mana mereka memasukkan kredensial mereka, atau jika mereka tidak lagi memiliki akses ke perangkat, ada kemungkinan bahwa perangkat akan terus mencoba otentikasi selamanya. Email auth adalah vektor yang sulit untuk melacak perangkat ini, dan bahkan jika Anda melakukannya, pengguna mungkin tidak memiliki akses ke sana atau tahu di mana itu. IP 10.4.5.27? Saya tahu ada satu pengguna yang harus menelepon help desk setiap hari untuk membuka kunci akun mereka, maka mereka akan segera masuk, dan kemudian akun mereka akan dikunci lagi. Mereka melakukan ini selama berbulan-bulan. Saya mengatakan kepada mereka untuk mengganti nama akun mereka.

Hidup memiliki disinsentif, kita tidak bisa menghapus semuanya.