DC中发现2个域账户被锁定有大量事件ID：675

全部回复

• 

  

  0

  登录进行投票

  這個問題，建議首先查看系統日志，找出登錄計算機，然後將該機器下線殺毒。

  此外也提供一個强制取消用戶鎖定的 PowerShell 脚本，但這是一個治標不治本的方法。

  $buffer = new-object system.text.stringbuilder
  $root = [adsisearcher]'LDAP://RootDSE'
  $root.filter = 'ObjectCategory=User'
  $users = $root.findall()
  foreach ($aduser in $users)
  {
  	$usr = [adsi]"$($aduser.path)"
  	if ($usr.psbase.invokeget('isaccountlocked'))
  	{
  		[void]$buffer.appendline($usr.adspath)
  		# $usr.lockouttime = 0
  		# $usr.psbase.commitchanges()
  	}
  	$usr.close()
  	$usr.dispose()
  	$usr = $null
  }
  $users.dispose()
  $users = $null
  $buffer.tostring() | clip
  

  
  

  ---

  Folding@Home

  2014年4月16日 12:25

  回复

  |

  引用
• 

  

  0

  登录进行投票

  感谢你的回复

  再DC上抓取到索要登入的计算机是 mail的前端服务器cas。 mail服务器的日志里面无登入信息，如何跟踪到那2个用户的IP。

  2014年4月17日 1:29

  回复

  |

  引用
• 

  

  0

  登录进行投票

  這是程序模擬用戶提交訪問憑據, 並不要求一定需要以常規方式登錄.

  既然是登錄需要通過網絡, 並且已經知道來自哪台機器, 那麼可以考慮通過 netstat 或審核日誌查找向服務器發送信息的進程, 進而判斷是否惡意代碼進程.
  如果是正常進程, 建議再檢查其模塊, 看是否混有惡意代碼的模塊.

  如果檢查結果沒有發現有惡意代碼的痕跡, 那麼應該考慮是否為配置不當造成.

  ---

  Folding@Home

  • 已建议为答案 Jeremy_WuModerator 2014年4月19日 15:48
  • 已标记为答案 Jeremy_WuModerator 2014年4月24日 15:12

  2014年4月17日 10:44

  回复

  |

  引用
• 

  

  0

  登录进行投票

  另外既然是 Exchange 服務器, 那麼建議開啟 SMTP 日誌功能, 分析 SEND 和 RECV 日誌有無異常, 主要是 SEND 日誌.

  ---

  Folding@Home

  • 已建议为答案 Jeremy_WuModerator 2014年4月19日 15:48
  • 已标记为答案 Jeremy_WuModerator 2014年4月24日 15:12

  2014年4月17日 10:46

  回复

  |

  引用
• 

  

  0

  登录进行投票

  您好，

  请问问题解决了么？

  谢谢。

  ---

  Jeremy Wu

  TechNet Community Support

  

  2014年4月19日 15:48

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  问题没有解决

  2014年6月30日 7:20

  回复

  |

  引用