jak znaleźć źródło blokad kont w domenie Active Directory?
Articles

jak znaleźć źródło blokad kont w domenie Active Directory?

w tym artykule pokażemy, jak śledzić zdarzenia blokady konta użytkownika w kontrolerach domeny Active Directory, określić, z którego komputera i programu konto jest stale blokowane. Aby znaleźć źródło blokady konta, możesz użyć dziennika zabezpieczeń systemu Windows, skryptów PowerShell lub narzędzia do blokowania i zarządzania kontami MSFT (Lockoutstatus.,exe)

wymienione konto jest obecnie zablokowane i może nie być zalogowane do

polityka bezpieczeństwa konta domeny w większości organizacji wymaga obowiązkowej blokady konta użytkownika Active Directory, jeśli złe hasło zostało wprowadzone kilka razy z rzędu. Zazwyczaj konto jest blokowane przez kontroler domeny na kilka minut( 5-30), podczas których Użytkownik nie może zalogować się do domeny AD. Po pewnym czasie (ustawionym przez zasady bezpieczeństwa domeny) konto użytkownika jest automatycznie odblokowywane., Tymczasowe blokowanie kont reklamowych zmniejsza ryzyko ataków brute force na konta użytkowników reklam.

Jeśli konto użytkownika w domenie jest zablokowane, podczas próby zalogowania się do systemu Windows pojawia się Ostrzeżenie:

konto, do którego odnosi się, jest aktualnie zablokowane i może nie być zalogowane ….

Jak sprawdzić, czy konto użytkownika jest zablokowane?,

Możesz sprawdzić, czy konto jest zablokowane w konsoli graficznej ADUC lub za pomocą polecenia Get-ADUser cmdlet z modułu Active Directory dla PowerShell:

Get-ADUser -Identity jsmith -Properties LockedOut,DisplayName | Select-Object samaccountName, displayName,Lockedout

konto jest teraz zablokowane i nie może być używane do uwierzytelniania w domenie (lockedout = True).,

możesz wyświetlić listę wszystkich aktualnie zablokowanych kont w domenie za pomocą polecenia Search-ADAccount cmdlet:

Search-ADAccount -lockedout

możesz odblokować konto ręcznie za pomocą konsoli ADUC i nie czekając, aż zostanie odblokowane automatycznie. Znajdź konto użytkownika, kliknij prawym przyciskiem myszy i wybierz Właściwości. Przejdź do zakładki Konto i zaznacz pole Odblokuj konto. To konto jest obecnie zablokowane na kontrolerze domeny Active Directory. Kliknij OK.,v>

Możesz również natychmiast odblokować swoje konto za pomocą następującego polecenia PowerShell:

Get-ADUser -Identity jsmith | Unlock-ADAccount

Możesz sprawdzić czas blokady konta, liczbę nieudanych prób hasła, czas ostatniego udanego logowania we właściwościach konta w konsoli ADUC (w edytorze atrybutów Tab) lub używając PowerShell:

zasady blokowania konta w domenie Active Directory

zasady blokowania konta są zwykle ustawiane w domyślnej polityce domeny dla całej domeny za pomocą GPMC.,snap-in msc. Niezbędne zasady można znaleźć w konfiguracji komputera -> Ustawienia systemu Windows- >ustawienia zabezpieczeń- >zasady dotyczące konta- > zasady blokowania konta., Są to następujące zasady:

  • próg Blokady konta to liczba prób wprowadzenia błędnego hasła do momentu zablokowania konta;
  • czas blokady konta, przez jaki konto będzie zablokowane (po tym czasie blokada zostanie automatycznie usunięta);
  • Resetuj licznik blokady konta po upływie czasu na zresetowanie licznika nieudanych prób autoryzacji.,

w celu ochrony kont użytkowników domeny przed atakami typu „password brute-force”, zaleca się używanie silnych haseł w reklamie (użyj długości hasła co najmniej 8 znaków i włącz wymagania dotyczące złożoności hasła). Jest to skonfigurowane w sekcji zasady dotyczące haseł, a hasło musi spełniać wymagania dotyczące złożoności i zasady dotyczące minimalnej długości haseł. Okresowo musisz kontrolować hasła użytkowników.,

dość często zdarzają się przypadki, gdy użytkownik zapomina hasła i sam powoduje blokadę konta. Jeśli użytkownik ostatnio zmienił hasło i zapomniał go, możesz je zresetować. Ale w niektórych przypadkach blokada konta odbywa się bez oczywistego powodu. Użytkownik oświadcza, że nigdy nie popełnił błędu podczas wprowadzania hasła, ale jego konto z jakiegoś powodu zostało zablokowane. Administrator może odblokować konto ręcznie przez żądanie użytkownika, ale po pewnym czasie sytuacja może się powtórzyć.,

aby rozwiązać problem użytkownika, administrator musi znaleźć komputer i program, z którego konto użytkownika w usłudze Active Directory zostało zablokowane.

Zasady audytu logowania dla kontrolerów domeny

aby włączyć zdarzenia blokady konta w dziennikach kontrolerów domeny, należy włączyć następujące zasady audytu dla kontrolerów domeny., Przejdź do sekcji GPO Konfiguracja komputera -> Zasady -> Ustawienia systemu Windows -> ustawienia zabezpieczeń -> Advanced Audit Policy -> Zaloguj się/wyloguj i włącz następujące zasady:

  • blokada konta audytu
  • logowanie audytu
  • logowanie audytu

najprostszym sposobem włączenia tej zasady jest GPMC.msc console edytując domyślną Politykę kontrolera domeny lub używając domyślnej Polityki domeny na całym poziomie domeny.,

Blokada KONTA Identyfikator zdarzenia 4740

przede wszystkim administrator musi dowiedzieć się, z którego komputera lub serwera występują złe próby hasła i przechodzi dalej blokady konta.

Jeśli kontroler domeny najbliższy użytkownikowi stwierdzi, że użytkownik próbuje zalogować się z nieprawidłowymi poświadczeniami, przekierowuje żądanie uwierzytelnienia do DC z rolą emulatora PDC FSMO (ten konkretny DC jest odpowiedzialny za przetwarzanie blokad kont). Jeśli uwierzytelnianie nie powiedzie się na PDC, to na pierwszym DC reaguje, że uwierzytelnianie nie jest możliwe., Jeśli liczba nieudanych uwierzytelnień przekroczy wartość ustawioną dla domeny w zasadach progu blokady konta, konto użytkownika zostanie tymczasowo zablokowane.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *