域账号被锁

全部回复

• 

  

  0

  登录进行投票

  你好，

  关于域账号被锁定的问题：

  首先,在域控制器是查找event 4740事件，通过此事件找到计算机源（每个域控都需要确认以下有无此事件）；如果都没有，则需要在为域控制器开启账号管理的审核策略，在[Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy\Audit account management] 下可找到此策略如下截图：

   

  
  

  然后，在客户端计算机源上找到4625事件，查看锁定账号的process.如果计算机源上没有4625事件，则需要开启以下的审核事件：

  

  Fan

  ---

  针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

  

  
  

  
  

  • 已编辑 flingminMicrosoft contingent staff 2019年11月14日 6:08

  2019年11月14日 6:01

  回复

  |

  引用
• 

  

  0

  登录进行投票

  你好，

  请问目前情况如何？

  如需协助，请继续联系我们。

  Fan

  ---

  针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

  

  
  

  
  

  • 已编辑 flingminMicrosoft contingent staff 2019年11月25日 8:20

  2019年11月18日 9:28

  回复

  |

  引用
• 

  

  0

  登录进行投票

  这些审核都是有开启的，有些账号被锁，可以看到日志，并追踪到哪台计算机的IP，但是有些日志缺是看到被锁，但是被锁源头为空的，这些是什么原因？

  2019年11月19日 4:54

  回复

  |

  引用
• 

  

  0

  登录进行投票

  你好，

  方便的话可以共享以下截图么（客户端的被锁事件）

  截图可隐藏敏感信息。

  Fan

  ---

  针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

  

  
  

  • 已编辑 flingminMicrosoft contingent staff 2019年11月25日 8:20

  2019年11月19日 7:21

  回复

  |

  引用
• 

  

  0

  登录进行投票

  你好，

  请问目前情况如何？

  如需协助，请继续联系我们。

  Fan

  ---

  Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

  2019年11月21日 1:30

  回复

  |

  引用
• 

  

  0

  登录进行投票

  请看以下截图，看到来源信息是空的

  

  2019年11月22日 1:23

  回复

  |

  引用
• 

  

  0

  登录进行投票

  非常好，我收藏了！

  2019年11月22日 2:47

  回复

  |

  引用
• 

  

  0

  登录进行投票

  你好，

  根据我的理解，一般来说caller computer 内容缺失的话，有可能是以下原因：

   

  1. KDC目前没有安全的方法来获取远程计算机的名称。 如果客户端提供了名称（如在NTLM中一样），则它是不可信的并且可以被欺骗。 有一些基于Unix的黑客工具，它们会在NTLM身份验证请求中欺骗工作站名称。
  2. DNS和NetBIOS反向查找不安全且不可靠，则很可能出现不正确或丢失信息的情况，并且会损害性能。

  在你的截图里面，SID 并没有被解析为账户名称，

  

  正常情况下应该是：

  

  所以，可以查看一下DNS和NetBIOS反向查找配置。

  Fan

  ---

  针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

  

  
  

  
  

  • 已编辑 flingminMicrosoft contingent staff 2019年11月25日 8:20

  2019年11月25日 2:02

  回复

  |

  引用
• 

  

  0

  登录进行投票

  反向查找没有配置，这需要在DNS上配置什么操作吗？

  2019年11月25日 2:48

  回复

  |

  引用
• 

  

  0

  登录进行投票

  你好，

  让我们先集中在account lockout事件上面，建议可以开启以下审核事件：

  

  开启之后，查找4771事件，或者4776事件

  https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4771

  https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4776

  Fan

  ---

  针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

  

  
  

  
  
  

  • 已编辑 flingminMicrosoft contingent staff 2019年11月28日 10:03
  • 已建议为答案 flingminMicrosoft contingent staff 2019年12月6日 1:47

  2019年11月26日 9:37

  回复

  |

  引用
• 

  

  0

  登录进行投票

  你好，

  请问目前情况如何？

  如需协助，请继续联系我们。

  Fan

  ---

  针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

  

  
  

  
  

  • 已编辑 flingminMicrosoft contingent staff 2019年11月28日 10:03

  2019年11月28日 10:02

  回复

  |

  引用
• 

  

  0

  登录进行投票

  你好，

  以后如果有任何问题，欢迎发帖询问。

  Fan

  ---

  针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

  

  
  

  
  

  • 已编辑 flingminMicrosoft contingent staff 2019年12月4日 9:48

  2019年12月4日 9:48

  回复

  |

  引用