News
Serverspace Technologien in den VAE: Einführung von Falconcloud
Einloggen Verein registrieren
OL
2. September 2021
Aktualisiert Mai 17, 2023

So beheben Sie Probleme mit der Kontosperrung in Active Directory

AD Windows

Mögliche Ursachen für die Benutzersperrung in Active Directory

Diese Situation besteht in Unternehmen, die eine Kontosperrungsrichtlinie haben, wenn eine bestimmte Anzahl falscher Passwörter eingegeben wird. Dies ist aus Sicht der Cybersicherheit richtig, da es zum Schutz vor Bruteforce-Angriffen beiträgt.

Einige der Hauptursachen für die Blockierung sind:

  • Ständige Zuordnung von Laufwerken mit alten Anmeldeinformationen
  • Mobile Geräte, die Unternehmensdienste mit alten Anmeldeinformationen nutzen
  • Dienstkonten, die zwischengespeicherte Passwörter verwenden, die während der Wartung geändert wurden
  • Geplante Aufgaben mit veralteten Passwörtern
  • Programs verwendet zwischengespeicherte Passwörter, die geändert wurden
  • Getrennte Terminalserversitzungen
  • Probleme mit der Active Directory-Replikation
  • Falsch konfigurierte Domänenrichtlinieneinstellungen
  • Böswillige Aktivität, beispielsweise ein Passwort-Bruteforce-Angriff.

Wo konfiguriere ich die Kontosperrungsrichtlinie?

Öffnen Sie den Gruppenrichtlinien-Editor und erstellen Sie eine neue Richtlinie. Benennen Sie sie z. B. „Kontosperrungsrichtlinie“, rechts cliÜberprüfen Sie es und wählen Sie „Bearbeiten“.

  • Stellen Sie die Zeit bis zum Zurücksetzen des Sperrzählers auf 30 Minuten ein
  • Der Sperrschwellenwert liegt bei 5 Anmeldefehlern
  • Dauer der Kontosperrung: 30 Minuten.

Schließen, die Richtlinie anwenden und ausführen gpupdate /force auf dem Zielcomputer

So finden Sie heraus, warum das Konto gesperrt wurde

Nachdem die Richtlinie nun aktiviert ist, müssen wir herausfinden, was die Kontosperrung verursacht und von welchem ​​Computer oder Gerät sie stammt. Um diese Frage zu beantworten, müssen Sie eine spezielle Überwachungsrichtlinie konfigurieren, um die relevanten Ereignisse zu verfolgen und anhand derer Sie die Ursache der Sperrung ermitteln können. Diese Art der Überwachung ist standardmäßig nicht konfiguriert.

Öffnen Sie den Gruppenrichtlinien-Editor (gpmc.exe) erneut, erstellen Sie eine Überwachungsrichtlinie, öffnen Sie sie und folgen Sie den Anweisungen:

Computerkonfiguration -> Richtlinien -> Windows Konfiguration -> Sicherheitseinstellungen -> Lokale Richtlinie -> Überwachungsrichtlinie

Wir müssen die Anmeldeüberwachung aktivieren. Diese Richtlinie generiert die Ereignisse 4771 und 4624. Setzen wir sie auf „Erfolg und Fehler“.

Wir müssen außerdem die Prüfrichtlinie für Anmeldeereignisse auf „Erfolg und Misserfolg“ sowie „Kontoverwaltungsprüfung“ einstellen, um die Ereignisse 4740 anzuzeigen.

Erzwingen Sie eine Richtlinienaktualisierung und führen Sie sie aus gpupdate /force auf dem Zielcomputer.

Welche Ereignisse im Sicherheitsprotokoll verfolgt werden sollen

Ein falscher Anmeldeinformationseintrag generiert Ereignis 4740 auf allen Domänencontrollern. Mit Kerberos-Fehlercodes:

  • - 6 - Benutzername existiert nicht
  • - 12 - Zeitlimit für die Anmeldung
  • - 18 - Konto deaktiviert, deaktiviert oder abgelaufen
  • - 23 - Benutzerpasswort abgelaufen
  • - 24 – Vorauthentifizierung fehlgeschlagen (falsches Passwort)
  • - 32 - Ticket abgelaufen
  • - 37 - Die Computerzeit wurde nicht mit der Domänenzeit synchronisiert

NTLM-Fehlercodes:

  • - 3221225572 - C0000064 - Dieser Benutzername existiert nicht
  • - 3221225578 - C000006A – Korrekter Benutzername, aber falsches Passwort
  • - 3221226036 - С0000234 - Dieses Benutzerkonto ist gesperrt
  • - 3221225586 - C0000072 - Konto deaktiviert
  • – 3221225583 – C000006E – Benutzer versucht, sich außerhalb des angegebenen Zeitraums anzumelden
  • - 3221225584 - С0000070 - Workstation-Einschränkung
  • - 3221225875 - С0000193 - Konto abgelaufen
  • - 3221225585 - 0000071 - Passwort abgelaufen
  • – 3221226020 – C0000224 – Der Benutzer muss das Passwort bei der nächsten Anmeldung ändern

So untersuchen Sie die Ursache der Kontosperrung

Öffnen Sie das Ereignisprotokoll und gehen Sie zu „Sicherheit“. Hier werden die Ereignis-IDs gesammelt, die bei der Ermittlung des Grunds für die Sperrung hilfreich sein können. Es gibt viele Ereignisse. Filtern Sie sie daher mit „Aktuelles Protokoll filtern“ heraus. Dadurch können wir nur die gewünschten Ereignisse auswählen. Geben Sie im Feld „Protokolliert“ den Zeitraum an, im Feld „Ereignis-ID“ geben Sie 4740 an und click „Ok“

Verwenden Sie die Suche (Suchen), um den Namen des benötigten Kontos in gefilterten Datensätzen zu finden. Abschließend sollten Ereignisse nach dem angegebenen Login mit dem Code 4740 gefiltert werden, wo wir den Grund für die Sperrung finden können. Beispielsweise enthält das Feld „Caller Computer Name“ den Namen des Computers, von dem die fehlgeschlagenen Anmeldungen stammen, die zur Blockierung führennatHrsg. Dann müssen Sie zum Zielcomputer gehen und dort die Ereignisprotokolle überprüfen, um festzustellen, warum dieser Computer versucht, sich mit ungültigen Anmeldeinformationen anzumelden.

Es gibt weitere Gründe für die Sperrung, die in den Ereignissen 4740 zu finden sind, wie zum Beispiel der Name des Exchange-Servers im „Caller Computer Name“ – das bedeutet, dass das Problem bei Outlook, der mobilen E-Mail, liegt client oder sein Kalender. Um diese Sperrung zu untersuchen, müssen Sie sich das ansehen IIS Protokolle auf dem Exchange-Server. Alternativ können Sie auch den Befehl „Get-ActiveSyncDeviceStatistics“ in PowerShell verwenden, um das Problem bei mobilen Geräten anzuzeigen.

Microsoft ALTools

Microsoft verfügt über ein eigenes Tool, das Sie bei der Behebung von Kontosperrungsproblemen unterstützt – das Microsoft Account Lockout and Management Tool (AlTools.exe). Laden Sie den Kontosperrungsstatus (LockoutStatus.exe) vom offiziellen Microsoft Download Center herunter

Dieses Tool zeigt Informationen zu einem gesperrten Konto mit seinem Benutzerstatus und der Sperrzeit auf jedem Domänencontroller an und ermöglicht es Ihnen, es mit der rechten Maustaste zu entsperren.cliKlicken Sie auf das entsprechende Konto.

Führen Sie LockoutStatus.exe aus > Datei > Ziel auswählen > Kontonamen und Domäne eingeben > OK

Es zeigt Ihnen alle mit der Sperrung verbundenen Status für dieses Konto an.

EventCombMT-Tool

Das EventCombMT-Tool sammelt spezifische Ereignisse von mehreren verschiedenen Servern an einem zentralen Ort.

Führen Sie EventCombMT.exe > Rechts- aus.click Zum Suchen auswählen > Wählen Sie „DCs in Domäne abrufen“ > Wählen Sie die zu durchsuchenden Domänencontroller aus. - Click Suchen > Integrierte Suchen > Kontosperrungen.

Andere Ursachen für die Sperrung von Benutzerkonten

Wenn das Sperrproblem durch Google Work verursacht wirdspaces-Dienste (Gmail, Gdrive...) dann zeigen die Protokolle, dass die fehlgeschlagenen Anmeldungen vom WORKSTATION-Computer stammen.

Details zur Sperre sind auch im Ereignis 4771 zu sehen. Dort finden Sie die oben beschriebenen Kerberos-Codes und die IP-Adresse des Geräts, von dem die fehlgeschlagenen Anmeldungen kommen.

Wenn der „Caller Computer Name“ des Ereignisses 4770 und Client-Adresse 4771 leer sind, bedeutet dies, dass Sie höchstwahrscheinlich brutal erzwungen werden!

Um in diesem Fall die Ursache der fehlgeschlagenen Anmeldungen herauszufinden, müssen Sie das „Netlogon“-Debugging aktivieren und sich die Protokolle ansehen. Netlogon ist ein Windows Server Prozess, der Benutzer und andere Dienste in der Domäne authentifiziert. Aktivieren Sie die Netlogon-Protokollierung: Start > Ausführen > Typ:

nltest /dbflag:2080ffffff > OK

Nach dem Neustart des Netlogon-Dienstes kann die entsprechende Aktivität in %windir%/debug/netlogon.log aufgezeichnet werden.

Sie können die Netlogon-Protokolle auch mithilfe eines Skripts analysieren:

type netlogon.log |find /i "0xC000006A" > failedpw.txt type netlogon.log |find /i "0xC0000234" > lockedusr.txt

Warnung! Denken Sie daran, Netlogon auszuschalten, nachdem Sie Ereignisse protokolliert haben, da die Systemleistung aufgrund des Debugging-Prozesses etwas langsam sein kann und zusätzlicher Speicherplatz beansprucht wird space. Deaktivieren Sie die Netlogon-Protokollierung:

Start > Ausführen > Typ:

nltest /dbflag:0 > OK

In den Protokollen finden Sie die IP-Adressen der Computer, die nicht in den Ereignisprotokollen angezeigt werden. Dabei kann es sich um Terminalserver oder andere handeln RDP Workstations, die einem Passwort-Bruteforce-Angriff ausgesetzt sind.

Kehren wir zum Sicherheitsereignisprotokoll zurück. Ein weiteres nützliches Ereignis mit dem Ereigniscode 4776 ist auch die Angabe der Workstation, an der Sie sich anmelden möchten.

Wenn die IP-Adresse in Ihren Protokollen unbekannt ist, können Sie die Mac-Adresse auf dem DHCP-Server oder auf Ihrem Netzwerkgerät nachschlagen und mit speziellen Diensten, die leicht im Internet zu finden sind, den Hersteller der Mac-Adresse herausfinden. Dies ist nützlich, wenn fehlgeschlagene Anmeldungen von einem Smartphone oder Tablet stammen.

Eine weitere nützliche Sache wäre es, sich Ereignis 4625 anzusehen. Dort finden Sie den Prozess, der die Kontosperrung verursacht. Verwenden Sie Process Hacker oder Process Monitor, um die Anmeldeinformationen aktiver Prozesse anzuzeigen.

Windows Beim Taskplaner liegt möglicherweise das Problem der Sperrung vor. Möglicherweise ist eine Aufgabe so konfiguriert, dass sie mit einem Konto ausgeführt wird, dessen Kennwort geändert wurde.

Möglicherweise sind auf dem lokalen Computer Anmeldeinformationen gespeichert, die wie folgt gefunden werden können:

Start > Ausführen > rundll32 keymgr.dll, KRShowKeyMgr > OK.

Oder Netplwiz:

Start > Ausführen > Typ: netplwiz > OK CliKlicken Sie auf die Registerkarte „Erweitert“ und dann click Passwortverwaltung.

Eine Terminalserversitzung mit veralteten Anmeldeinformationen kann zu einer Sperrung führen. Um eine zu deaktivieren RDP Führen Sie in der Sitzung die folgenden Befehle in der Befehlszeile aus (Win+R > „cmd“) und ersetzen Sie dabei „server_ip“, „name“ und „password“ durch die erforderlichen Anmeldeinformationen

net use \\server_ip /USER:name password

Dadurch können Sie sich ohne Verwendung an einem Remote-Server anmelden RDP.

query session /server:name

Ersetzen Sie „Name“ durch den Servernamen. Hier erhalten Sie die Sitzungs-ID.

reset session id /server:server_ip

Dadurch wird die aktive Sitzung auf dem Remote-Server beendet.

Eine Kontosperrung kann durch AD-Replikation verursacht werden, wenn eine Kennwortaktualisierung nicht auf allen Domänencontrollern repliziert wurde. Um die Replikation zu erzwingen, führen Sie den folgenden Befehl auf Ihrem DC aus:

repadmin /syncall /AdeP

Abstimmung:
4 aus 5
Durchschnittliche Bewertung: 4.8
Bewertet von: 12
1101 CT Amsterdam Niederlande, Herikerbergweg 292
+31 20 262-58-98
700 300
ITGLOBAL.COM NL
700 300
Mögliche Ursachen für die Benutzersperrung in Active Directory
Wo konfiguriere ich die Kontosperrungsrichtlinie?
So finden Sie heraus, warum das Konto gesperrt wurde
Welche Ereignisse im Sicherheitsprotokoll verfolgt werden sollen
So untersuchen Sie die Ursache der Kontosperrung
Andere Ursachen für die Sperrung von Benutzerkonten

Danke! Bitte geben Sie den Grund für die niedrige Bewertung an, damit wir den Artikel verbessern können

Benutzerkonto anlegen

oder melden Sie sich an

Mit der Anmeldung stimmen Sie dem zu Nutzungsbedingungen.

Wir verwenden Cookies, um Ihr Erlebnis auf der Website zu verbessern Serverspace besser. Indem Sie weiterhin auf unserer Website surfen, stimmen Sie unseren zu
Cookies und Datenschutzbestimmungen.