是什麼導致我的域控制器每秒記錄數十次成功的身份驗證嘗試?
我們有一個包含大約 15 台伺服器和大約 30 個工作站的域。伺服器多為 2008r2,工作站多為 Windows 7。兩個 DC 都是 2012r2。每隔幾週,我們的一個管理員帳戶就會被鎖定。我試圖縮小原因,我已經走到了死胡同。
這就是我所擁有的。
PDC 上的事件日誌顯示事件 4776 - 審核成功:
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: username Source Workstation: Error Code: 0x0全部使用相同的使用者名,並且每秒重複幾次。
根據事件 ID,這些是 NTLM 登錄而不是 Kerberos。儘管使用的身份驗證類型對我來說並不像剪切數量那麼令人擔憂。這種情況每秒發生幾次,並且每隔幾秒鐘無限次重複,無論是白天還是晚上或週末。
事件日誌還顯示此使用者名的審核成功事件 ID 4624(登錄)和 4634(註銷),但與上述事件一樣,“工作站”欄位為空。
我啟用了詳細的 netlogon 日誌記錄,並且 netlogon.log 顯示
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Entered 02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Returns 0x0 02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered 02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0 02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Entered 02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Returns 0x0 02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Entered 02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Returns 0x0 02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Entered 02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Returns 0x0 02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered 02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0 02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Entered 02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Entered 02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Returns 0x0 02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Returns 0x0 02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Entered 02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Returns 0x0 02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Entered 02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Returns 0x0等等等等。這些登錄的明顯來源(通過 XYZ)可能包括來自網路的工作站和伺服器。
顯然,這看起來像一個自動化或腳本。由於登錄通常都是成功的,我不認為這是一次入侵嘗試。然而,有些登錄確實會不時失敗,但我還沒有發現失敗的任何模式,而且它們發生的頻率很低,以至於(大多數日子)它們不會鎖定帳戶。有一個時的失敗程式碼通常是0xc0000022(拒絕訪問)
我已經從其中一台伺服器上禁用並解除安裝了我們的遠端監控代理(目前是 Kaseya,但我們最終將遷移到 LabTech),但仍然看到來自該伺服器的新事件,因此這排除了自動化任務。我還檢查了幾台伺服器上的任務調度程序,並沒有發現任何異常。我已檢查服務以驗證登錄帳戶,並且此帳戶未用於任何服務。
我執行 Netstat 很長一段時間,主要看到從“系統”和“系統空閒程序”到 PDC 的連接。我確實看到了來自 spoolsrv、lsass 和 ismserv 的偶爾連接(我正在測試的伺服器是 Citrix XenApp 伺服器,但其他“源”伺服器不在 XenApp 場中,當然“源”工作站也不在其中)。我停止了列印後台處理程序服務只是為了測試,它對登錄事件沒有影響。
我在 MSP 工作,這是我們的主要技術人員 dom 管理員帳戶,因此它的工作和安全是重中之重。我留下的最後一個想法是更改密碼並查看什麼中斷,但不知道該帳戶用於此目的可能會產生潛在的災難性後果。但是,我懷疑這可能只是配置錯誤的 AD。
有沒有人經歷過這樣的事情並能夠確定來源?
我建議進一步在您的 DC 上啟用 NTLM 審計。使用預設域控制器策略,啟用以下策略設置:
網路安全:限制 NTLM:審核傳入流量 =為所有帳戶啟用審核 網路安全:限制 NTLM:審核此域中的 NTLM 身份驗證 =啟用所有 網路安全:限制 NTLM:到遠端伺服器的傳出 NTLM 流量 =審核所有
https://support.symantec.com/en_US/article.HOWTO79508.html
啟用後,在事件查看器中導航至:應用程序和服務日誌 > Microsoft > Windows > NTLM > 操作
會有時間戳與您的 netlogon 事件時間戳匹配的事件。此日誌將顯示實際的工作站名稱。
特別是為了幫助您進一步辨識來源,此日誌中的安全通道名稱將有助於縮小流程起源。