域環(huán)境賬號(hào)被鎖原因和處理方法總結(jié)

轉(zhuǎn)載

2012-12-20 15:35:25?weixin_33772645?閱讀數(shù) 94

原文鏈接：http://blog.51cto.com/24links/1095235

?

?

在企業(yè)的環(huán)境中經(jīng)常會(huì)遇到大批量的賬號(hào)被鎖定的情況,之前我遇到過的是w32.downadup.b這個(gè)病毒以及相關(guān)變種,利用symantec的專殺工具

http://www.symantec.com/zh/cn/security_response/writeup.jsp?docid=2008-123015-3826-99&tabid=2以及打上相關(guān)不定后問題解決.后來為了自動(dòng)解鎖用戶賬號(hào),建立了相應(yīng)的腳本,請(qǐng)見lockout.vbs,將腳本拷貝到PDC?，然后在PDC上打開cmd窗口運(yùn)行?cscript lockout.vbs,同樣可以建立一個(gè)BAT?內(nèi)容為:

C:\Windows\system32\cscript.exe "C: \unlock\lockout.vbs"的計(jì)劃任務(wù),從而實(shí)現(xiàn)全面的自動(dòng)解鎖賬號(hào)。但是這樣的情況是在大面積出現(xiàn)賬戶被鎖的情況，如果僅僅是個(gè)別人，或者某些人賬號(hào)出現(xiàn)被鎖怎么辦?如何查處是什么原因造成的?首先我們?cè)赿c上運(yùn)行powershell執(zhí)行Search-ADAccount –LockedOut這樣就可以搜索出dc中所有被鎖定的賬號(hào).相關(guān)文章: http://blogs.technet.com/b/heyscriptingguy/archive/2011/08/31/use-powershell-to-find-locked-out-user-accounts.aspx接下來就是針對(duì)某個(gè)賬號(hào)進(jìn)行檢查,將會(huì)利用到ALTools,相關(guān)文檔如下

http://www.2cto.com/px/201005/47210.html,???對(duì)于08 R2 event ids已經(jīng)變化為?4740和4625,?見此文章

http://support.microsoft.com/kb/977519/zh-cn, http://3rdlinesupport.wordpress.com/tag/eventcombmt/

找到了另外一個(gè)更加詳細(xì)的文檔，貼出來

在我公司裡有幾個(gè)帳號(hào)非常奇怪，經(jīng)常會(huì)發(fā)生帳號(hào)被鎖定的情況，也因此我經(jīng)常都要替這些被鎖定的帳號(hào)進(jìn)行解鎖動(dòng)作，我也好長一段時(shí)間都苦於不知如何查出該帳號(hào)被鎖定的原因，但最近因?yàn)樯线^?Windows Server 2008 / R2 Active Directory 疑難雜癥專班?課程學(xué)到如何對(duì)帳號(hào)鎖定進(jìn)行問題分析，如果之前沒遇到這問題，就算去上課可能也不會(huì)感受深刻吧，實(shí)在是難得的經(jīng)驗(yàn)。

首先，先分析有幾個(gè)可能會(huì)造成帳號(hào)鎖定的原因：

1. 螢?zāi)槐Ｗo(hù)程式 ( 密碼保護(hù) )

這種狀況是上課時(shí)老師分享的一種情況，我個(gè)人是沒這樣遇過，但想想還真的有可能。

一 般來說，進(jìn)入螢?zāi)槐Ｗo(hù)模式後如果要讓電腦繼續(xù)執(zhí)行只要滑動(dòng)滑鼠就好了，如果按鍵盤的話我都會(huì)按 Ctrl 鍵，不過卻有人習(xí)慣按下 Enter 鍵，好笑的事還有人習(xí)慣一直連續(xù)按下 Enter 鍵 (可能認(rèn)為這樣電腦會(huì)醒的比較快吧^^)，如果電腦正處於輸入密碼的視窗，那不就等於不輸入密碼連續(xù)登入嗎？當(dāng)超過連續(xù)登入錯(cuò)誤的「鎖定閥值」後就會(huì)導(dǎo)致 帳號(hào)鎖定了！

?

2. 使用 Windows Vista / Windows 7 試圖登入不支援 NTLMv2 驗(yàn)證方法的電腦或 NAS

這問題我之前有寫過一篇文章分享【W(wǎng)indows Vista / Windows 7 無法登入 NAS 或 Samba 的解法】講的就是這種狀況，這會(huì)讓你永遠(yuǎn)無法登入成功，即便你打?qū)γ艽a。

3. 網(wǎng)路密碼記憶在 Windows 裡，但該使用者的密碼已經(jīng)變更了

如 果你習(xí)慣連接遠(yuǎn)端電腦時(shí)將密碼記憶在電腦裡，尤其是登入 NAS 的時(shí)候或其他不是使用 Windows 驗(yàn)證的情況，若當(dāng)帳號(hào)密碼從 AD 裡變更了，當(dāng)你下次登入 NAS 時(shí)就會(huì)發(fā)生登入失敗的狀況，不過由於密碼是記憶在 Windows 理的，當(dāng)開完機(jī)後第一次連線時(shí)如果發(fā)生帳號(hào)驗(yàn)證失敗， 則 Windows 會(huì)自動(dòng)幫你重試登入?5?次，所以如果你的群組原則設(shè)定的「鎖定閥值」只有 5 次的話，那麼你只要連接一次帳號(hào)就等於登入失敗了?6?次，也就代表你的帳號(hào)就被鎖定了，連反悔的機(jī)會(huì)都沒有！

所以基本上在設(shè)定 GPO 的「帳號(hào)鎖定原則」的「帳號(hào)鎖定閥值」時(shí)不建議小於 10 次，參考圖示如下：

?

4. 電腦中毒 ( 或被植入木馬 )

由於一些木馬會(huì)嘗試登入網(wǎng)路上的芳鄰，登入的過程會(huì)試圖嘗試各種密碼，如果遇到這種罕見的狀況也有可能導(dǎo)致帳號(hào)經(jīng)常被鎖定！

---

除此之外，要分析那些「不知道為何帳號(hào)被鎖定」的狀況就真的有點(diǎn)困難了，以下就是分析的方法。

?

分析帳號(hào)鎖定 (Account Lockout) 的原因有以下三個(gè)主要步驟

一、啟用相關(guān)記錄檔? 二、分析造成鎖定帳號(hào)的來源 IP? 三、處理造成問題的電腦

?

以下就是這三個(gè)階段分別的說明：

一、 啟用相關(guān)記錄檔

這裡有 2 個(gè)相關(guān)記錄必須被開啟：

1. 在擁有?PDC 模擬器 (PDC Emulator)?角色的 DC 啟動(dòng) NETLOGON 紀(jì)錄

2. 在?Default?Domain Controller?Policy?啟動(dòng)與帳號(hào)相關(guān)的稽核記錄 [非必要]

?

設(shè)定三個(gè)與帳戶鎖定相關(guān)的稽核記錄：

?

備註說明

??

二、分析造成鎖定帳號(hào)的來源 IP

先利用?net accounts?命令檢查目前的群組原則是如何定義帳號(hào)鎖定的規(guī)則：

?

接著我們可以去下載一個(gè)?Account Lockout and Management Tools?工具組，此工具從 2003 年之後至今都沒有更新過了，不過依然可以在 Windows Server 2008 R2 上使用 (需要一些調(diào)整才能用)，此工具組中有好幾個(gè)工具程式，其中有一個(gè)?nlparse.exe?可以幫我們從?C:\Windows\Debug\netlogon.log?記錄檔中篩選出必要的紀(jì)錄，以便於分析帳號(hào)鎖定的狀況。

不過若在 Windows Server 2008 上執(zhí)行時(shí)會(huì)出現(xiàn)以下錯(cuò)誤，說是缺了一個(gè)?comdlg32.ocx?檔案：

?

此檔案你只要從任何一臺(tái) Windows Client 主機(jī)都可以找的到，只要複製到 Windows Server 2008 相對(duì)應(yīng)的目錄即可執(zhí)行，該檔案的路徑如下：

另一個(gè)更簡單的作法是將?netlogon.log?複製到你的電腦，在你的電腦執(zhí)行?nlparse.exe?即可。

執(zhí)行時(shí)畫面如下，請(qǐng)點(diǎn)選 Open 按鈕選取?netlogon.log?開啟此記錄檔：

?

由於我們要分析帳號(hào)被鎖定的原因，因此你可以僅篩選出以下兩種狀態(tài)碼的資料即可，分別是：

?

當(dāng)按下 Extract 按鈕後，會(huì)在?netlogon.log?所在目錄另外產(chǎn)生兩個(gè)篩選過後的檔案：

?

若我們用 Excel 開啟?netlogon.log -Out.csv?檔案，像我剛剛測(cè)試了一個(gè)帳號(hào)，連續(xù)登入失敗 10 次，即可發(fā)現(xiàn)有 11 筆資料被篩選出來，透過這種方式你可以非常清楚的知道這個(gè)帳號(hào)到底是何時(shí)被鎖定的、最後一次登入失敗是在何時(shí)、透過什麼管道與驗(yàn)證方式登入、登入的來源電 腦是哪壹臺(tái)主機(jī)或IP，如此詳盡的資訊相信可以很快的找到讓帳號(hào)鎖定的兇手！

?

這裡的資料中，倒數(shù)第二個(gè)欄位可以特別解釋一下，由於記錄的內(nèi)容是?Y530A (via DC2)，我們?cè)诒疚恼律栽缬刑岬健冈趽碛?PDC 模擬器 (PDC Emulator)?角色的 DC 啟動(dòng) NETLOGON 紀(jì)錄」，意思就是在擁有?PDC 模擬器 (PDC Emulator)?角色的 DC 取得?netlogon.log?紀(jì)錄，不過在網(wǎng)域環(huán)境下可能不止壹臺(tái) DC，換句話說，這代表登入的主機(jī) (Y530A) 是從 DC2 進(jìn)行驗(yàn)證的，而 DC2 代替 Y530A 往?PDC 模擬器 (PDC Emulator)?角色的 DC 進(jìn)行密碼驗(yàn)證的。

所以透過這筆記錄我們可以得知使用者一定是登入 DC2 網(wǎng)域主控站，不然就是該電腦是透過 DC2 網(wǎng)域主控站進(jìn)行 NTLM 驗(yàn)證，而且不管如何只要使用者是透過 NTLM 驗(yàn)證方法進(jìn)行登入，最後一定會(huì)轉(zhuǎn)到?PDC 模擬器 (PDC Emulator)角色的 DC 進(jìn)行密碼驗(yàn)證，這也是我們?yōu)槭颤N一定要從「在擁有?PDC 模擬器 (PDC Emulator)?角色的 DC 啟動(dòng) NETLOGON 紀(jì)錄」的主要原因。

?

在?Account Lockout and Management Tools?工具組中還有另一個(gè)?eventcombMT.exe?工具更為方便，他會(huì)自動(dòng)搜尋所有 DC 的「安全性」事件記錄，並直接篩選出與帳號(hào)鎖定相關(guān)的事件出來，如果要使用這個(gè)工具的話，在先前提到的「在Default?Domain Controller?Policy?啟動(dòng)與帳號(hào)相關(guān)的稽核記錄」就必須進(jìn)行設(shè)定，否則會(huì)抓不到必要的安全性事件紀(jì)錄。

剛開啟 後的畫面如下，若你的電腦本身就有登入網(wǎng)域，那麼預(yù)設(shè) Domain 就會(huì)被填入：

?

由於 EventCombMT 是一個(gè)事件檢視器的搜尋工具，所以已經(jīng)內(nèi)建了一些搜尋的條件，其中帳戶鎖定就是一個(gè)內(nèi)建的選項(xiàng)，請(qǐng)選擇?Account Lockouts?預(yù)設(shè)搜尋項(xiàng)目：

?

選完後會(huì)自動(dòng)幫你搜尋到要查詢的網(wǎng)域主控站有哪些，但重點(diǎn)在於他幫你預(yù)設(shè)好的?Event IDs?編號(hào)：

?

不過這套工具實(shí)在太舊了，因?yàn)閺?Windows Server 2008 之後所有?Event IDs?都與之前的版本不一樣了，因此如果你的 DC 是 Windows Server 2008 以後的版本就必須手動(dòng)修改?Event IDs?的內(nèi)容如下：

修改完成後按下?Search?按鈕即可開始搜尋所有 DC 上的事件記錄，並將搜尋到的結(jié)果儲(chǔ)存在 c:\temp 預(yù)設(shè)輸出目錄下，如下圖示：

?

而剩下的就是分析這些篩選出來的資料並進(jìn)一步分析，雖然輸出的檔案是 *.txt 檔，不過你還是可以將副檔名改成 *.csv 後用 Excel 開啟會(huì)比較方便篩選或檢視。

?

備註：若要搜尋與帳號(hào)鎖定相關(guān)的事件記錄，以下是 Windows Server 2003 與 Windows Server 2008 的相關(guān)事件編號(hào)與相關(guān)描述。

?? 當(dāng)然，如果你直接使用事件檢視器進(jìn)行事件篩選一樣也是可以的，重點(diǎn)是你自己要知道有哪些?Event IDs?需要被篩選出來即可，如下圖示是?Windows Server 2008 R2?的事件檢視器篩選出多個(gè)特定 ID 的方式：

?

?

備註：很不幸的，在寫這篇文章的同時(shí)剛好發(fā)現(xiàn)?Windows Server 2008 繁體中文版?無法使用逗號(hào)分隔多個(gè) Event ID 進(jìn)行篩選，而且我在?Windows Server 2008 英文版?並未發(fā)現(xiàn)此問題，之後的?R2?版本也沒有問題，不知道微軟何時(shí)才會(huì)推出 Hotfix 更新這個(gè) Bug！？?

?

三、處理造成問題的電腦

找出導(dǎo)致鎖定帳號(hào)的來源 IP 與電腦還算簡單，有了上述步驟應(yīng)該就能輕易找到，不過要能找出到底是哪個(gè)?程序(Process) 就沒那麼容易了，而這一段就不是三言兩語可以講得清楚，也是最需要經(jīng)驗(yàn)支持…

首先，要先把造成問題的電腦離線（將網(wǎng)路線拔掉），以免帳號(hào)再次被鎖定，然後再進(jìn)行帳號(hào)鎖定的相關(guān)分析，以下提供一些追蹤的方向與工具供各位參考：

?參考地址：

http://blog.miniasp.com/post/2010/12/08/How-to-analysis-AD-Account-Lockout-problem.aspx

http://daviwa.blogspot.hk/2012_07_29_archive.html

?

大家也可以用這工具來檢查，非常方便

http://www.netwrix.com/identity_management.html

轉(zhuǎn)載于:https://blog.51cto.com/24links/1095235