让我从我的环境的一些细节开始:
最近,我收到了由于login失败次数过多而导致域用户帐户被locking的报告。 我已经从用户使用两个不同的机器,Win 7 Pro x64的报告这个问题。 我只是解锁他们的帐户,让他们在途中,但有时帐户立即被重新locking,有时用户会被隔夜,每晚导致一些混乱。 由于这个问题,我在我们的SBS服务器locking策略下设置帐户locking阈值为0,所以用户可以不间断地工作,而我知道这一点。
在对这个问题做一些研究的时候,我发现一个常见的问题是,当用户的密码被改变时,他们旧的凭证被caching在某个地方,被一个进程或服务使用,导致审计失败,但是用户没有改变他们的密码在很长一段时间。
所以我正在检查其中一个工作站上的事件日志,而且我发现每秒钟都会发生一些用户的审计失败事件。 其中一个用户通过远程桌面定期使用计算机,但另外三个用户有点奇怪。 其他三个之一不访问我知道这台机器,其他两个用户不存在 。 其中一个不存在的用户有我们的域名的用户名,另一个被称为DENTAL ….在另一个用户不断注销的另一台机器上,我看到所有的奇怪和不存在的用户名被列出在事件(他们是真实的名字,但不是我们的域名用户,如鲍勃,珍妮,加里等)。
安全事件日志时间线看起来像这样,每天一整天: 审计失败
以下是不存在的用户的完整事件详细信息(login到他的电脑的唯一用户是域pipe理员):
-System -Provider [ Name] Microsoft-Windows-Security-Auditing [ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D} EventID 4625 Version 0 Level 0 Task 12544 Opcode 0 Keywords 0x8010000000000000 -Time Created [ SystemTime] 2017-03-16T18:23:08.864151000Z EventRecordID 9068892 Correlation -Execution [ ProcessID] 560 [ ThreadID] 1364 Channel Security Computer *xxxx.domain.lan* Security -EventData SubjectUserSid S-1-0-0 SubjectUserName - SubjectDomainName - SubjectLogonId 0x0 TargetUserSid S-1-0-0 TargetUserName DENTAL TargetDomainName Status 0xc000006d FailureReason %%2313 SubStatus 0xc0000064 LogonType 3 LogonProcessName NtLmSsp AuthenticationPackageName NTLM WorkstationName TransmittedServices - LmPackageName - KeyLength 0 ProcessId 0x0 ProcessName - IpAddress - IpPort -
对于这些事件中的每一个(EventID 4625),都有一个具有相同TargetUserName的相应事件(EventID 4776)。
任何和所有的帮助和/或build议在这里将不胜感激。 请让我知道,如果有任何其他信息,我应该提供,事件日志,你想看看等
提前致谢!