Для более детального аудита блокировок на найденном компьютере необходимо включить ряд локальных политик аудита Windows. Для этого на локальном компьютере, на котором нужно отследить источник блокировки, откройте редактор групповых политик gpedit.msc и в разделе Compute Configurations -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy включите политики:
Audit process tracking: Success , Failure
Audit logon events: Success , Failure
Дождитесь очередной блокировки учетной записи и найдите в журнале безопасности (Security) события с Event ID 4625. В нашем случае это событие выглядит так:
An account failed to log on.
Failure Reason: Account locked out.
Выявлем процесс/программу из которой была залокирована учетная запись
Из описания события видно, что источник блокировки учетной записи – процесс mssdmn.exe (является компонентом Sharepoint). Осталось сообщить пользователю о том, что ему необходимо обновить свой пароль на веб-портале Sharepoint.
После окончания анализа, выявления и наказания виновника не забудьте отключить действие включенных групповых политик аудита.
https://winitpro.ru/index.php/2014/05/07/poisk-istochnika-blokirovki-uchetnoj-zapisi-polzovatelya-v-active-directory/
Какие события отслеживать в журнале безопасность
При некорректном вводе данных генерируется событие 4740, на всех контроллерах домена если он не один. С кодами отказов Kerberos:
6 – имя пользователя не существует
12 – Ограничение времени входа в систему
18 – Учетная запись деактивирована, заблокирована или истек срок ее действия
23 – Истек срок действия пароля пользователя
24 – Предварительная аутентификация не удалась(неверный пароль)
32 – Истек срок действия тикета
37 – Время компьютера давно не синхронизировалось с доменным
и кодами ошибок NTLM
Комментариев нет:
Отправить комментарий