域環(huán)境賬號被鎖原因和處理方法總結(jié)

轉(zhuǎn)載

2012-12-20 15:35:25?weixin_33772645?閱讀數(shù) 94

原文鏈接：http://blog.51cto.com/24links/1095235

?

?

在企業(yè)的環(huán)境中經(jīng)常會遇到大批量的賬號被鎖定的情況,之前我遇到過的是w32.downadup.b這個病毒以及相關(guān)變種,利用symantec的專殺工具

http://www.symantec.com/zh/cn/security_response/writeup.jsp?docid=2008-123015-3826-99&tabid=2以及打上相關(guān)不定后問題解決.后來為了自動解鎖用戶賬號,建立了相應(yīng)的腳本,請見lockout.vbs,將腳本拷貝到PDC?，然后在PDC上打開cmd窗口運行?cscript lockout.vbs,同樣可以建立一個BAT?內(nèi)容為:

C:\Windows\system32\cscript.exe "C: \unlock\lockout.vbs"的計劃任務(wù),從而實現(xiàn)全面的自動解鎖賬號。但是這樣的情況是在大面積出現(xiàn)賬戶被鎖的情況，如果僅僅是個別人，或者某些人賬號出現(xiàn)被鎖怎么辦?如何查處是什么原因造成的?首先我們在dc上運行powershell執(zhí)行Search-ADAccount –LockedOut這樣就可以搜索出dc中所有被鎖定的賬號.相關(guān)文章: http://blogs.technet.com/b/heyscriptingguy/archive/2011/08/31/use-powershell-to-find-locked-out-user-accounts.aspx接下來就是針對某個賬號進行檢查,將會利用到ALTools,相關(guān)文檔如下

http://www.2cto.com/px/201005/47210.html,???對于08 R2 event ids已經(jīng)變化為?4740和4625,?見此文章

http://support.microsoft.com/kb/977519/zh-cn, http://3rdlinesupport.wordpress.com/tag/eventcombmt/

找到了另外一個更加詳細(xì)的文檔，貼出來

在我公司裡有幾個帳號非常奇怪，經(jīng)常會發(fā)生帳號被鎖定的情況，也因此我經(jīng)常都要替這些被鎖定的帳號進行解鎖動作，我也好長一段時間都苦於不知如何查出該帳號被鎖定的原因，但最近因為上過?Windows Server 2008 / R2 Active Directory 疑難雜癥專班?課程學(xué)到如何對帳號鎖定進行問題分析，如果之前沒遇到這問題，就算去上課可能也不會感受深刻吧，實在是難得的經(jīng)驗。

首先，先分析有幾個可能會造成帳號鎖定的原因：

1. 螢?zāi)槐Ｗo程式 ( 密碼保護 )

這種狀況是上課時老師分享的一種情況，我個人是沒這樣遇過，但想想還真的有可能。

一 般來說，進入螢?zāi)槐Ｗo模式後如果要讓電腦繼續(xù)執(zhí)行只要滑動滑鼠就好了，如果按鍵盤的話我都會按 Ctrl 鍵，不過卻有人習(xí)慣按下 Enter 鍵，好笑的事還有人習(xí)慣一直連續(xù)按下 Enter 鍵 (可能認(rèn)為這樣電腦會醒的比較快吧^^)，如果電腦正處於輸入密碼的視窗，那不就等於不輸入密碼連續(xù)登入嗎？當(dāng)超過連續(xù)登入錯誤的「鎖定閥值」後就會導(dǎo)致 帳號鎖定了！

?

2. 使用 Windows Vista / Windows 7 試圖登入不支援 NTLMv2 驗證方法的電腦或 NAS

這問題我之前有寫過一篇文章分享【W(wǎng)indows Vista / Windows 7 無法登入 NAS 或 Samba 的解法】講的就是這種狀況，這會讓你永遠(yuǎn)無法登入成功，即便你打?qū)γ艽a。

3. 網(wǎng)路密碼記憶在 Windows 裡，但該使用者的密碼已經(jīng)變更了

如 果你習(xí)慣連接遠(yuǎn)端電腦時將密碼記憶在電腦裡，尤其是登入 NAS 的時候或其他不是使用 Windows 驗證的情況，若當(dāng)帳號密碼從 AD 裡變更了，當(dāng)你下次登入 NAS 時就會發(fā)生登入失敗的狀況，不過由於密碼是記憶在 Windows 理的，當(dāng)開完機後第一次連線時如果發(fā)生帳號驗證失敗， 則 Windows 會自動幫你重試登入?5?次，所以如果你的群組原則設(shè)定的「鎖定閥值」只有 5 次的話，那麼你只要連接一次帳號就等於登入失敗了?6?次，也就代表你的帳號就被鎖定了，連反悔的機會都沒有！

所以基本上在設(shè)定 GPO 的「帳號鎖定原則」的「帳號鎖定閥值」時不建議小於 10 次，參考圖示如下：

?

4. 電腦中毒 ( 或被植入木馬 )

由於一些木馬會嘗試登入網(wǎng)路上的芳鄰，登入的過程會試圖嘗試各種密碼，如果遇到這種罕見的狀況也有可能導(dǎo)致帳號經(jīng)常被鎖定！

---

除此之外，要分析那些「不知道為何帳號被鎖定」的狀況就真的有點困難了，以下就是分析的方法。

?

分析帳號鎖定 (Account Lockout) 的原因有以下三個主要步驟

一、啟用相關(guān)記錄檔? 二、分析造成鎖定帳號的來源 IP? 三、處理造成問題的電腦

?

以下就是這三個階段分別的說明：

一、 啟用相關(guān)記錄檔

這裡有 2 個相關(guān)記錄必須被開啟：

1. 在擁有?PDC 模擬器 (PDC Emulator)?角色的 DC 啟動 NETLOGON 紀(jì)錄

2. 在?Default?Domain Controller?Policy?啟動與帳號相關(guān)的稽核記錄 [非必要]

?

設(shè)定三個與帳戶鎖定相關(guān)的稽核記錄：

?

備註說明

??

二、分析造成鎖定帳號的來源 IP

先利用?net accounts?命令檢查目前的群組原則是如何定義帳號鎖定的規(guī)則：

?

接著我們可以去下載一個?Account Lockout and Management Tools?工具組，此工具從 2003 年之後至今都沒有更新過了，不過依然可以在 Windows Server 2008 R2 上使用 (需要一些調(diào)整才能用)，此工具組中有好幾個工具程式，其中有一個?nlparse.exe?可以幫我們從?C:\Windows\Debug\netlogon.log?記錄檔中篩選出必要的紀(jì)錄，以便於分析帳號鎖定的狀況。

不過若在 Windows Server 2008 上執(zhí)行時會出現(xiàn)以下錯誤，說是缺了一個?comdlg32.ocx?檔案：

?

此檔案你只要從任何一臺 Windows Client 主機都可以找的到，只要複製到 Windows Server 2008 相對應(yīng)的目錄即可執(zhí)行，該檔案的路徑如下：

另一個更簡單的作法是將?netlogon.log?複製到你的電腦，在你的電腦執(zhí)行?nlparse.exe?即可。

執(zhí)行時畫面如下，請點選 Open 按鈕選取?netlogon.log?開啟此記錄檔：

?

由於我們要分析帳號被鎖定的原因，因此你可以僅篩選出以下兩種狀態(tài)碼的資料即可，分別是：

?

當(dāng)按下 Extract 按鈕後，會在?netlogon.log?所在目錄另外產(chǎn)生兩個篩選過後的檔案：

?

若我們用 Excel 開啟?netlogon.log -Out.csv?檔案，像我剛剛測試了一個帳號，連續(xù)登入失敗 10 次，即可發(fā)現(xiàn)有 11 筆資料被篩選出來，透過這種方式你可以非常清楚的知道這個帳號到底是何時被鎖定的、最後一次登入失敗是在何時、透過什麼管道與驗證方式登入、登入的來源電 腦是哪壹臺主機或IP，如此詳盡的資訊相信可以很快的找到讓帳號鎖定的兇手！

?

這裡的資料中，倒數(shù)第二個欄位可以特別解釋一下，由於記錄的內(nèi)容是?Y530A (via DC2)，我們在本文章稍早有提到「在擁有?PDC 模擬器 (PDC Emulator)?角色的 DC 啟動 NETLOGON 紀(jì)錄」，意思就是在擁有?PDC 模擬器 (PDC Emulator)?角色的 DC 取得?netlogon.log?紀(jì)錄，不過在網(wǎng)域環(huán)境下可能不止壹臺 DC，換句話說，這代表登入的主機 (Y530A) 是從 DC2 進行驗證的，而 DC2 代替 Y530A 往?PDC 模擬器 (PDC Emulator)?角色的 DC 進行密碼驗證的。

所以透過這筆記錄我們可以得知使用者一定是登入 DC2 網(wǎng)域主控站，不然就是該電腦是透過 DC2 網(wǎng)域主控站進行 NTLM 驗證，而且不管如何只要使用者是透過 NTLM 驗證方法進行登入，最後一定會轉(zhuǎn)到?PDC 模擬器 (PDC Emulator)角色的 DC 進行密碼驗證，這也是我們?yōu)槭颤N一定要從「在擁有?PDC 模擬器 (PDC Emulator)?角色的 DC 啟動 NETLOGON 紀(jì)錄」的主要原因。

?

在?Account Lockout and Management Tools?工具組中還有另一個?eventcombMT.exe?工具更為方便，他會自動搜尋所有 DC 的「安全性」事件記錄，並直接篩選出與帳號鎖定相關(guān)的事件出來，如果要使用這個工具的話，在先前提到的「在Default?Domain Controller?Policy?啟動與帳號相關(guān)的稽核記錄」就必須進行設(shè)定，否則會抓不到必要的安全性事件紀(jì)錄。

剛開啟 後的畫面如下，若你的電腦本身就有登入網(wǎng)域，那麼預(yù)設(shè) Domain 就會被填入：

?

由於 EventCombMT 是一個事件檢視器的搜尋工具，所以已經(jīng)內(nèi)建了一些搜尋的條件，其中帳戶鎖定就是一個內(nèi)建的選項，請選擇?Account Lockouts?預(yù)設(shè)搜尋項目：

?

選完後會自動幫你搜尋到要查詢的網(wǎng)域主控站有哪些，但重點在於他幫你預(yù)設(shè)好的?Event IDs?編號：

?

不過這套工具實在太舊了，因為從 Windows Server 2008 之後所有?Event IDs?都與之前的版本不一樣了，因此如果你的 DC 是 Windows Server 2008 以後的版本就必須手動修改?Event IDs?的內(nèi)容如下：

修改完成後按下?Search?按鈕即可開始搜尋所有 DC 上的事件記錄，並將搜尋到的結(jié)果儲存在 c:\temp 預(yù)設(shè)輸出目錄下，如下圖示：

?

而剩下的就是分析這些篩選出來的資料並進一步分析，雖然輸出的檔案是 *.txt 檔，不過你還是可以將副檔名改成 *.csv 後用 Excel 開啟會比較方便篩選或檢視。

?

備註：若要搜尋與帳號鎖定相關(guān)的事件記錄，以下是 Windows Server 2003 與 Windows Server 2008 的相關(guān)事件編號與相關(guān)描述。

?? 當(dāng)然，如果你直接使用事件檢視器進行事件篩選一樣也是可以的，重點是你自己要知道有哪些?Event IDs?需要被篩選出來即可，如下圖示是?Windows Server 2008 R2?的事件檢視器篩選出多個特定 ID 的方式：

?

?

備註：很不幸的，在寫這篇文章的同時剛好發(fā)現(xiàn)?Windows Server 2008 繁體中文版?無法使用逗號分隔多個 Event ID 進行篩選，而且我在?Windows Server 2008 英文版?並未發(fā)現(xiàn)此問題，之後的?R2?版本也沒有問題，不知道微軟何時才會推出 Hotfix 更新這個 Bug！？?

?

三、處理造成問題的電腦

找出導(dǎo)致鎖定帳號的來源 IP 與電腦還算簡單，有了上述步驟應(yīng)該就能輕易找到，不過要能找出到底是哪個?程序(Process) 就沒那麼容易了，而這一段就不是三言兩語可以講得清楚，也是最需要經(jīng)驗支持…

首先，要先把造成問題的電腦離線（將網(wǎng)路線拔掉），以免帳號再次被鎖定，然後再進行帳號鎖定的相關(guān)分析，以下提供一些追蹤的方向與工具供各位參考：

?參考地址：

http://blog.miniasp.com/post/2010/12/08/How-to-analysis-AD-Account-Lockout-problem.aspx

http://daviwa.blogspot.hk/2012_07_29_archive.html

?

大家也可以用這工具來檢查，非常方便

http://www.netwrix.com/identity_management.html

轉(zhuǎn)載于:https://blog.51cto.com/24links/1095235