none
域账号被锁 RRS feed

  • 问题

  • 某个域账号一解锁就马上锁定,但是在日志上看没有看到被锁定的计算机源,都是为空,但是提示账号被锁,这种应该如何排查呢?
    2019年11月14日 3:19

全部回复

  • 你好,

    关于域号被定的问题

    首先,在域控制器是event 4740事件,通此事件找到算机源(每个域控都需要确以下有无此事件);如果都没有,需要在域控制器开启号管理的核策略,在[Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy\Audit account management] 下可找到此策略如下截

     


    然后,在客户端计算机源上找到4625事件,查看锁定账号的process.如果计算机源上没有4625事件,则需要开启以下的审核事件:

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2019年11月14日 6:01
  • 你好,

    请问目前情况如何?

    如需协助,请继续联系我们。

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2019年11月18日 9:28
  • 这些审核都是有开启的,有些账号被锁,可以看到日志,并追踪到哪台计算机的IP,但是有些日志缺是看到被锁,但是被锁源头为空的,这些是什么原因?
    2019年11月19日 4:54
  • 你好,

    方便的话可以共享以下截图么(客户端的被锁事件)

    截图可隐藏敏感信息。

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2019年11月19日 7:21
  • 你好,

    请问目前情况如何?

    如需协助,请继续联系我们。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年11月21日 1:30
  • 请看以下截图,看到来源信息是空的

    2019年11月22日 1:23
  • 非常好,我收藏了!
    2019年11月22日 2:47
  • 你好,

    根据我的理解,一般来说caller computer 内容缺失的话,有可能是以下原因:

     

    1. KDC目前没有安全的方法来获取远程计算机的名称。 如果客户端提供了名称(如在NTLM中一样),则它是不可信的并且可以被欺骗。 有一些基于Unix的黑客工具,它们会在NTLM身份验证请求中欺骗工作站名称。
    2. DNS和NetBIOS反向查找不安全且不可靠,则很可能出现不正确或丢失信息的情况,并且会损害性能。

    在你的截图里面,SID 并没有被解析为账户名称,

    正常情况下应该是:

    所以,可以查看一下DNS和NetBIOS反向查找配置。

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2019年11月25日 2:02
  • 反向查找没有配置,这需要在DNS上配置什么操作吗?
    2019年11月25日 2:48
  • 你好,

    让我们先集中在account lockout事件上面,建议可以开启以下审核事件:

    开启之后,查找4771事件,或者4776事件

    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4771

    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4776

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。




    2019年11月26日 9:37
  • 你好,

    请问目前情况如何?

    如需协助,请继续联系我们。

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2019年11月28日 10:02
  • 你好,

    以后如果有任何问题,欢迎发帖询问。

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2019年12月4日 9:48