在Outlook最近的事件发生后,我想知道如何最有效地解决以下问题:
假设一个相当典型的中小型AD基础架构:几个DC,一些内部服务器和Windows客户端,几个使用AD和LDAP进行DMZ(SMTP中继,VPN,Citrix等)内部用户authentication的服务以及一些内部服务都依靠AD进行身份validation(Exchange,SQL服务器,文件和打印服务器,terminal服务服务器)。 您可以完全访问所有的系统,但是它们有点太多(计数客户端)来单独检查。
现在假设由于某种未知的原因,每隔几分钟一个(或多个)用户帐户由于密码locking策略而被locking。
添加一些我没有看到给出的答案。
find对此负责的服务/机器最好的方法是什么?
您不能只查看PDCe上的安全日志,因为虽然PDCe具有有关整个域的帐户locking的最新信息,但它没有关于从哪个客户端(IP或主机名)失败的login尝试来自,假设失败的login尝试发生在除了PDCe之外的另一个DC上。 PDCe会说“账户xyz被locking”,但是如果login失败login在域中的另一个DC上,则不会从哪里说。 只有实际validationlogin的DC才会logginglogin失败,包括客户端的地址。 (也没有把RODC带入这个讨论。)
有两个很好的方法来找出失败的login尝试来自何时有几个域控制器。 事件转发和微软的账户locking工具 。
我更喜欢将事件转发到中央位置。 将所有域控制器的login尝试转发至中央日志logging服务器。 那么你只有一个地方去寻找你的整个域名失败的login。 事实上,我个人并不喜欢微软的账户locking工具,所以现在有一个好方法。
事件转发。 你会爱上它的。
假设基础设施是纯粹的,标准的Windows没有额外的pipe理工具,而且默认的变化很less,那么find这种locking的原因有什么办法可以加速或改进?
往上看。 然后你可以使用你的监控系统,比如SCOM或者Nagios,或者你使用的任何东西,梳理那个单一的事件日志,用短信或者其他任何东西炸毁你的手机。 没有比这更快的速度了。
可以做些什么来提高系统对这种账户lockingDOS的弹性?
我们在更大的环境中清理pipe理员帐户时也遇到同样的问题。 尽pipeDC审计日志技术上提供了所需的信息,但是我们决定实施ManageEngine的ADAudit Plus产品,该产品会扫描这些日志,并查找login尝试以及AD中的任何更改。 使用内置的报告function和一些Excel工作,我们能够很容易地追踪login的来源。 在我们的情况下,这主要与pipe理员在实施各种应用程序时使用pipe理员帐户而不是服务帐户有关。
可以做些什么来提高系统对这种账户lockingDOS的弹性?
你不能。
有很多东西可以烧毁你的房子。 像简单的代码重复请求IP地址,直到DHCP作用域被耗尽。 或者简单的代码创build目录,直到MFT已满,并且必须重新格式化分区才能恢复它。 你无法抵御一切。
一个更常见的停工情况是那些在几年前通用的设备中input他们的证书的人。 如打印机(通过电子邮件扫描)或智能手机或平板电脑。 如果他们忘记了他们input凭据的地方,或者他们不能再访问设备,那么设备可能会继续尝试validation。 电子邮件auth是追踪这些设备的难题,即使您这样做了,用户也可能无法访问它或知道它在哪里。 IP 10.4.5.27? 我知道有一位用户每天都要打电话给服务台,让他们的账户解锁,然后立即login,然后他们的账户再次locking。 他们这样做了几个月。 我告诉他们把他们的帐户改名。
生活有抑制,我们不能消除所有这些。