严格的账户锁定策略对于阻止密码猜测和暴力攻击至关重要,但它也存在锁定合法用户的风险,从而导致企业浪费更多的时间、金钱和精力。
由于密码重置请求占 IT 技术支持工单总数的近 30%,因此解决频繁的账户锁定问题成为占用系统管理员时间最多的工作。随着员工在多个设备之间切换并使用大量应用程序进行协作,找到AD域帐户锁定的来源变得比以往任何时候都更加困难。
了解为什么重复使用错误密码(即是否是恶意使用)至关重要,因为不知道此信息可能会导致不必要的访问。这就是为什么迫切需要快速分析和检测帐户锁定的根本原因,以便用户帐户不会长期被锁定。
账户锁定
AD 帐户锁定的类型
帐户锁定策略是一种内置的安全措施,可限制恶意用户和黑客非法访问您的网络资源。几乎所有的 AD 锁定都是由这两个基本问题之一引起的。
一、粗心的员工忘记密码
一个组织的强大取决于其最薄弱的环节。在不使用单点登录的情况下, 员工平均使用大约 27 个密码来满足其业务需求。除了访问他们的桌面和 VPN 之外,Outlook、Dropbox、G Suite、Salesforce、亚马逊网络服务 (AWS) 等大量应用程序都需要使用唯一密码。这使得普通员工很难跟踪正在使用的密码,从而导致频繁的账户锁定。
虽然这种类型的密码重置很普遍,但解决它只需要验证用户的ID并重置 AD 账户密码。
二、由于缓存凭据导致密码重叠
这种类型的帐户锁定虽然不那么普遍,但解决起来要困难得多,因为帐户锁定的根本原因通常是模糊的。
最重要的是,由于员工经常使用多种设备、众多生产力应用程序、Windows 服务等,密码重叠可能会导致账户锁定。
在这篇博客中,我们深入研究了这种类型的重复帐户锁定,分析其原因,并讨论可用于排除故障的各种工具。
账户锁定原因
Microsoft Technet列出了以下作为帐户锁定的最常见原因:
1、使用缓存凭据的程序
2、Windows 服务使用的过期缓存凭据
3、密码尝试的低阈值
4、员工跨多个设备登录
5、为存储的用户名和密码保留冗余凭据
6、计划任务使用的过时凭据
7、不正确的共享驱动器映射
8、AD 账户复制问题
9、Windows 服务器上断开的终端会话
10、帮助查找重复账户锁定来源的工具
有多种工具可帮助追踪重复账户锁定的来源。其中大部分是劳动和时间密集型的。
一、Microsoft 账户锁定和管理工具
Microsoft 提供 LockoutStatus 和 EventCombMT 工具。虽然可靠且准确,但使用 Microsoft 的工具需要设置多个单独的工具、对每个 Windows 组件进行例行手动调查等等。
二、PowerShell 脚本
除了管理员了解脚本语言之外,使用 PowerShell 脚本还需要手动设置 AD 安全审核。它包括查找具有主域控制器模拟器角色的域控制器,在安全事件日志中跟踪 Windows 事件 ID 4740,以及分析找到的事件的详细信息。
三、账户锁定审查员
第三方解决方案可以分析各种 Windows 组件,如计划任务、COM 对象、OWA、应用程序和 ActiveSync,以找出过期凭据和不正确映射的迹象,这有助于快速找到重复帐户锁定的来源。
ManageEngine ADAudit Plus
使用ManageEngine ADAudit Plus的帐户锁定检查器轻松发现重复的 AD 帐户锁定并排除故障。它有助于:
跟踪账户锁定状态以及锁定时间、机器等的详细信息。
分析过时凭据的 Windows 服务、应用程序、进程和计划任务。
检查不正确的网络驱动器映射和断开的远程桌面会话。
查找与该锁定帐户关联的登录失败历史记录以获取更多上下文。
通过用户行为分析发现非典型用户活动,例如异常时间或帐户锁定量。
