Varonis Dec 7 2020 at 15:05

Блокировка учетных записей Active Directory: руководство по инструментам и диагностике

9 min

34K

Varonis Systems corporate blogInformation Security*System administration*Server Administration*

Translation

Comments 8

ildarz Dec 7 2020 at 15:27

Есть отличный способ решить проблему с блокировками из-за политик AD — просто вообще не использовать политики AD для этого (в силу их абсолютной негибкости).

Зачем сначала применять настолько тупой инструмент, а потом наворачивать вокруг него систему, решающую возникающие от этого проблемы, если ровно те же силы и средства можно потратить на систему, которая изначально все эти проблемы будет учитывать (исключим из рассмотрения случаи, где политика "тупо блочим после X попыток" является навязанной, например, нормативными актами — это все же не самая распространенная ситуация)?

Sergey-S-Kovalev Dec 7 2020 at 21:03

Почти все корпы блочат у кого двухфакторки нет. Лучше с утра разбираться с причинами блокировки, чем к вечеру выяснять что у тебя слили.

Блокировка же это быстро и бесплатно. Там где Сб злые и ты еще и объяснительную пишешь по факту блокировки учетки, почти нет проблем вида «в пятницу сменил и забыл» или «я тут Кате дала свой пароль, что бы отчет распечатать срочно, пока я отлучилась».

ildarz Dec 8 2020 at 13:46

бесплатно

:). Ну если считать что простои персонала/систем и время работы ИТ/СБ ничего не стоят, то да. Впрочем, это отдельная большая тема.

somurzakov Dec 7 2020 at 18:33

у нас сотрудники сами могут разблокировать свою AD учетку используя комбинацию секретный вопрос+ пин из RSA токена — разработали специальный сервис.
дайте людям self-service услугу и пусть сами решают свою проблему, главное обеспечить безопасность

Sergey-S-Kovalev Dec 7 2020 at 20:56

Жаль что перевод.

По умолчанию Active Directory блокирует пользователя после трех неудачных попыток входа в систему.

Нет такой настройки по умолчанию, и никогда не было.

вход пользователей на нескольких компьютерах;

Без пояснения, что в процессе работы на одном из ПК может быть сменен пароль и начнется блокировка с других выглядит глупо.

Параметр «Порог блокировки учетной записи» (account lockout threshold) должен быть изменен на гораздо большее число, чем 3 — возможно, 20 или 30 — так, чтобы блокировка вызывалась только действиями хакера по перебору паролей, (в этом случае такие попытки исчисляются сотнями).

И, наконец, хитрый параметр «Сброс политики блокировки учетной записи через» (reset account lockout policy after) по умолчанию установлен на 1 минуту. Подробнее об этом подходе можно прочитать тут.

Вот он удивится, когда узнает что учетки его домена гоняют по кругу с таймаутом заданным в этой политике. Уже давно не брутфорсят одну учетку напрямую на сервисе, это заметно. Берут пароль и проверяют с ним все учетки, берут следующий пароль и опять по кругу.

Get-EventLog-LogName Security | ?{{$_.message -like"*locked*USERNAME*"}} | fl-property *

Если закрыть глаза на два отсутствующих пробела, то данный скрипт не выполняет заявленные функции.

get-winevent -maxEvent 100 -FilterHashTable @{LogName="Security";id=4740}

Вот этот ближе, но всеравно что бы красиво увидеть, нужно все это парсить и разбирать. Оно в простейшем то виде выглядит так:

Заголовок спойлера


cls
$yesterday = (get-date) - (new-timespan -day 1)
$forestdomains = get-adforest

foreach ($domainname in $forestdomains.domains) {

$DCs = Get-ADDomainController –Filter * -Server $domainname


foreach ($dc in $DCs.hostname) {
    Write-host "================================================================"
    Write-host "DC is:" $DC

    get-winevent -maxEvent 100 -ComputerName $DC -FilterHashTable @{LogName="Security";id=4740} | where {$_.timecreated -ge $yesterday} | Foreach {
        $event = [xml]$_.ToXml()
        if($event)
            {
            $Time = Get-Date $_.TimeCreated -UFormat "%Y-%m-%d %H:%M:%S"
            $User = $event.Event.EventData.Data[0]."#text"
            $source = $event.Event.EventData.Data[1]."#text"
            write-host "Time:" $Time "| User " $User "| Source " $source
            } 
        }
     } 
}

Статья, на троечку, не вычитана пресейл инженером.

somurzakov Dec 7 2020 at 23:43

а можно спросить какие привилегии нужны на DC чтобы увидеть эти ивенты?

Sergey-S-Kovalev Dec 8 2020 at 05:30

Очевидно, что право чтения Security лога контроллера домена.

Самое очевидное — Администраторы домена.

Или кого то другого через:
Управление компьютером – Локальные пользователи – Группы – Читатели журнала событий – добавить учетную запись сетевой службы (NETWORK SERVICE) и учетную запись сборщика событий. Если в эту группу добавить только учетную запись самого сборщика, но не добавлять NETWORK SERVICE, то будут собираться все события, кроме событий безопасности.

halted Dec 8 2020 at 12:41

Забыли упомянуть о целом зоопарке event-коллекторов с фильтрами и siem с ними. При желании можно все довести до уровня "через минуту упало письмо о блокировке учетной записи"