我们有一个约15个服务器和约30个工作站的域名。 服务器大部分是2008r2,工作站大多是Windows 7.两个DC是2012r2。 每隔几个星期,我们的一个pipe理员帐户就被locking了。 我正在努力缩小事业的范围,而且我已经走到了尽头。
这是我的。
PDC上的事件日志显示事件4776 – 审核成功:
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: username Source Workstation: Error Code: 0x0 所有使用相同的用户名,每秒重复数次。
根据事件ID,这些是NTLMlogin而不是Kerberos。 虽然使用的authenticationtypes比剪切量更不令人担忧。 这种情况每秒发生几次,每隔几秒钟重复一次,无论白天还是晚上或周末。
事件日志还显示此用户名的审核成功事件ID 4624(login)和4634(注销),但是在“工作站”字段上方为空的情况下。
我启用了详细的netlogon日志logging和netlogon.log显示
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Entered 02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Returns 0x0 02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered 02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0 02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Entered 02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Returns 0x0 02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Entered 02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Returns 0x0 02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Entered 02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Returns 0x0 02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered 02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0 02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Entered 02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Entered 02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Returns 0x0 02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Returns 0x0 02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Entered 02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Returns 0x0 02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Entered 02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Returns 0x0
等等等等。 这些login的明显来源(通过XYZ)可能包括来自整个networking的工作站和服务器。
显然这看起来像一个自动化或脚本。 由于login通常都是成功的,我不相信这是入侵企图。 但是,某些login会不时地失败,但是我没有发现任何失败的模式,而且它们发生得非常less(大多数日子),所以他们没有locking账户。 有一个失败代码通常是0xc0000022(访问被拒绝)
我从其中一台服务器上禁用并卸载了我们的远程监控代理(目前Kaseya,但我们终于搬到了LabTech),但是仍然看到来自该服务器的新事件,所以这就排除了自动化任务。 我也检查了一些服务器上的任务调度器,没有发现任何不寻常的事情。 我已经检查了服务来validationlogin帐户,并且这个帐户没有在任何服务中使用。
我运行Netstat很长一段时间,主要看到从“系统”和“系统空闲进程”到PDC的连接。 我确实看到spoolsrv和lsass以及ismserv(我正在testing的服务器是Citrix XenApp服务器,但其他“源”服务器不在XenApp场中,当然,“源”工作站也不是)的偶尔连接。 我停止了打印后台处理程序服务只是为了testing,它对login事件没有影响。
我在MSP工作,这是我们的主要技术人员pipe理员帐户,所以它的工作和安全的高度优先事项。 我留下的最后一个想法是更改密码并查看什么是rest时间,但是不知道帐户正在使用什么可能会造成灾难性后果。 但是,我怀疑这可能只是一个错误configuration的广告。
有没有人经历过这样的事情,并能够确定来源?