nouvelles
NOUVEAU : Accès au LLM via API depuis le panneau de contrôle
Serverspace Black Friday
OL
2 septembre 2021
Mise à jour en mai 17, 2023

Comment résoudre les problèmes de verrouillage de compte dans Active Directory

AD Windows

Causes possibles du verrouillage de l'utilisateur dans Active Directory

Cette situation existe dans les entreprises qui ont une politique de verrouillage de compte lorsqu'un certain nombre de mots de passe incorrects sont entrés, c'est correct du point de vue de la cybersécurité car cela aide à se protéger contre les attaques par force brute.

Certaines des principales causes de blocage sont :

  • Mappage constant des lecteurs avec d'anciennes informations d'identification
  • Appareils mobiles utilisant des services d'entreprise avec d'anciennes informations d'identification
  • Comptes de service utilisant des mots de passe mis en cache qui ont été modifiés lors de la maintenance
  • Tâches planifiées avec des mots de passe obsolètes
  • Programs en utilisant des mots de passe mis en cache qui ont été modifiés
  • Sessions Terminal Server déconnectées
  • Problèmes avec la réplication Active Directory
  • Paramètres de stratégie de domaine mal configurés
  • Activité malveillante, telle qu'une attaque par force brute de mot de passe.

Où configurer la stratégie de verrouillage de compte

Ouvrez l'éditeur de stratégie de groupe et créez une nouvelle stratégie, nommez-la, par exemple Stratégie de verrouillage de compte, à droite cliCochez-le et sélectionnez "Modifier".

  • Réglez le temps jusqu'à ce que le compteur de verrouillage se réinitialise à 30 minutes
  • Le seuil de verrouillage est de 5 erreurs de connexion
  • Durée du verrouillage du compte - 30 minutes.

Fermer, appliquer la politique et exécuter gpupdate /force sur la machine cible

Comment savoir pourquoi le compte a été verrouillé

Maintenant que la politique est activée, nous devons déterminer la cause du verrouillage du compte et de quel ordinateur ou appareil il provient. Afin de répondre à cette question, vous devez configurer une stratégie d'audit spéciale pour suivre les événements pertinents à partir desquels vous pourrez déterminer la cause du verrouillage. Ce type d'audit n'est pas configuré par défaut.

Ouvrez à nouveau l'éditeur de stratégie de groupe (gpmc.exe), créez une stratégie d'audit, ouvrez-la et suivez :

Configuration ordinateur -> Stratégies -> Windows Configuration -> Paramètres de sécurité -> Stratégie locale -> Stratégie d'audit

Nous devons activer l'audit de connexion, cette stratégie génère les événements 4771 et 4624. Définissons-le sur "Succès et échec".

Nous devons également définir la stratégie d'audit des événements de connexion sur "Succès et échec" ainsi que sur "Audit de gestion de compte" pour voir les événements 4740.

Forcer une mise à jour de la politique et exécuter gpudater/forcer sur la machine cible.

Quels événements suivre dans le journal de sécurité

Une entrée d'informations d'identification incorrecte génère l'événement 4740, sur tous les contrôleurs de domaine. Avec les codes d'échec Kerberos :

  • - 6 - Le nom d'utilisateur n'existe pas
  • - 12 - Limite de temps de connexion
  • - 18 - Compte désactivé, désactivé ou expiré
  • - 23 - Mot de passe utilisateur expiré
  • - 24 - Échec de la pré-authentification (mot de passe erroné)
  • - 32 - Billet expiré
  • - 37 - L'heure de l'ordinateur n'était pas synchronisée avec l'heure du domaine

Codes d'erreur NTLM :

  • - 3221225572 - C0000064 - Ce nom d'utilisateur n'existe pas
  • - 3221225578 - C000006A - Nom d'utilisateur correct, mais mot de passe incorrect
  • - 3221226036 - С0000234 - Ce compte utilisateur est bloqué
  • - 3221225586 - C0000072 - Compte désactivé
  • - 3221225583 - C000006E - L'utilisateur tente de se connecter en dehors de la période spécifiée
  • - 3221225584 - С0000070 - Limitation du poste de travail
  • - 3221225875 - С0000193 - Compte expiré
  • - 3221225585 - 0000071 - Mot de passe expiré
  • - 3221226020 - C0000224 - L'utilisateur doit changer de mot de passe lors de sa prochaine connexion

Comment enquêter sur la cause du verrouillage du compte

Ouvrez le journal des événements et accédez à "Sécurité", c'est là que les ID d'événement sont collectés, ce qui peut aider à déterminer la raison du verrouillage. Il y a beaucoup d'événements, alors filtrez-les avec "Filtrer le journal actuel", cela nous permettra de sélectionner uniquement les événements que nous voulons. Dans le champ "Enregistré", spécifiez la période de temps, dans le champ ID d'événement, spécifiez 4740 et clicochez "Ok"

Utilisez la recherche (Rechercher) pour trouver le nom du compte recherché, dans les enregistrements filtrés. Enfin, les événements doivent être filtrés par le login spécifié avec le code 4740, où l'on peut trouver la raison du verrouillage. Par exemple, le champ "Nom de l'ordinateur de l'appelant" contient le nom de l'ordinateur d'où proviennent les échecs de connexion qui provoquent le blocage.natéd. Ensuite, vous devez vous rendre sur l'ordinateur cible et y inspecter les journaux d'événements pour déterminer pourquoi cette machine tente de se connecter avec des informations d'identification non valides.

Il existe d'autres raisons pour le verrouillage qui peuvent être trouvées dans les événements 4740 tels que le nom du serveur Exchange dans le "Nom de l'ordinateur de l'appelant" - cela signifie que le problème vient d'Outlook, le courrier mobile client ou son calendrier. Pour enquêter sur ce verrouillage, vous devez examiner le IIS se connecte au serveur Exchange. Ou vous pouvez également utiliser la commande Get-ActiveSyncDeviceStatistics dans PowerShell pour voir le problème avec les appareils mobiles.

Microsoft ALTools

Microsoft dispose de son propre outil pour vous aider à résoudre les problèmes de verrouillage de compte - Microsoft Account Lockout and Management Tool (AlTools.exe). Télécharger l'état de verrouillage du compte (LockoutStatus.exe) à partir du centre de téléchargement officiel Microsoft

Cet outil affiche des informations sur un compte verrouillé avec son état d'utilisateur et le temps de verrouillage sur chaque contrôleur de domaine et vous permet de le déverrouiller par droit-clisur le compte correspondant.

Exécutez LockoutStatus.exe> ​​Fichier> Sélectionner la cible> Entrez le nom du compte et le domaine> OK

Il vous montrera tous les statuts liés au verrouillage pour ce compte.

Outil EventCombMT

L'outil EventCombMT collecte des événements spécifiques de plusieurs serveurs différents dans un emplacement central.

Exécutez EventCombMT.exe> ​​Droite-click Sélectionnez pour rechercher > Sélectionnez Obtenir les contrôleurs de domaine dans le domaine > Sélectionnez les contrôleurs de domaine à rechercher. - Click Recherches > Recherches intégrées > Verrouillages de compte.

Autres causes de verrouillage de compte d'utilisateur

Si le problème de verrouillage est causé par Google Workspaces services (Gmail, Gdrive...), les journaux indiqueront que les échecs de connexion proviennent de l'ordinateur WORKSTATION.

Des détails sur le verrou peuvent également être consultés dans l'événement 4771. Vous y trouverez les codes Kerberos décrits ci-dessus et l'adresse IP de l'appareil d'où proviennent les échecs de connexion.

Si le "Nom de l'ordinateur de l'appelant" de l'événement 4770 et Client Adresse 4771 sont vides, cela signifie que vous êtes très probablement brutalisé !

Pour connaître la source des échecs de connexion dans ce cas, vous devez activer le débogage "netlogon" et consulter ses journaux. Netlogon est un Windows Server processus qui authentifie les utilisateurs et les autres services du domaine. Activez la journalisation Netlogon : Démarrer > Exécuter > saisissez :

nltest /dbflag:2080ffffff > OK

Après le redémarrage du service Netlogon, l'activité correspondante peut être enregistrée dans %windir%/debug/netlogon.log.

Vous pouvez également analyser les journaux Netlogon à l'aide d'un script :

type netlogon.log |find /i "0xC000006A" > failedpw.txt type netlogon.log |find /i "0xC0000234" > lockedusr.txt

Avertissement! N'oubliez pas de désactiver Netlogon après avoir enregistré les événements, car les performances du système peuvent être un peu lentes en raison du processus de débogage et il utilisera un disque supplémentaire. space. Désactiver la journalisation Netlogon :

Démarrer > Exécuter > tapez :

nltest /dbflag:0 > OK

Dans les journaux, vous pouvez trouver les adresses IP des ordinateurs qui ne sont pas affichées dans les journaux d'événements, il peut s'agir de serveurs de terminaux ou RDP postes de travail soumis à une attaque brutale par mot de passe.

Revenons au journal des événements de sécurité. Un autre événement utile avec le code d'événement 4776 est également l'endroit où vous pouvez trouver le poste de travail auquel vous essayez de vous connecter.

Si l'adresse IP dans vos journaux est inconnue, vous pouvez rechercher l'adresse mac sur le serveur DHCP ou sur votre équipement réseau et découvrir le fabricant de l'adresse mac avec des services spéciaux, qui peuvent être facilement trouvés sur Internet. Ceci est utile lorsque les connexions échouées proviennent d'un smartphone ou d'une tablette.

Une autre chose utile serait d'examiner l'événement 4625, vous y trouverez le processus qui provoque le verrouillage du compte. Utilisez Process Hacker ou Process Monitor pour voir les informations d'identification des processus actifs.

Windows Le planificateur de tâches peut être le problème du verrouillage - il peut y avoir une tâche configurée pour s'exécuter à l'aide d'un compte dont le mot de passe a changé.

Il peut y avoir des informations d'identification stockées sur la machine locale, qui peuvent être trouvées comme ceci :

Démarrer > Exécuter > rundll32 keymgr.dll, KRShowKeyMgr > OK.

Ou Netplwiz :

Démarrer > Exécuter > tapez : netplwiz > OK Click l'onglet Avancé, puis click Gestion des mots de passe.

Une session Terminal Server avec des informations d'identification obsolètes peut entraîner un verrouillage. Pour désactiver un RDP session, exécutez les commandes suivantes sur la ligne de commande (Win+R > "cmd"), en remplaçant "server_ip", "name" et "password" par les informations d'identification requises

net use \\server_ip /USER:name password

Cela vous permet de vous connecter à un serveur distant sans utiliser RDP.

query session /server:name

Remplacez "nom" par le nom du serveur. Ici, vous obtenez l'identifiant de session.

reset session id /server:server_ip

Cela met fin à la session active sur le serveur distant.

Le blocage de compte peut être causé par la réplication AD lorsqu'une mise à jour de mot de passe n'a pas été répliquée sur tous les contrôleurs de domaine. Pour forcer la réplication, exécutez la commande suivante sur votre DC :

repadmin /syncall /AdeP

Voter:
4 sur 5
Note moyenne : 4.8
Noté par : 13
1101 CT Amsterdam Pays-Bas, Herikerbergweg 292
+31 20 262-58-98
700 300
ITGLOBAL.COM NL
700 300
Nous utilisons des cookies pour rendre votre expérience sur le Serverspace meilleur. En poursuivant votre navigation sur notre site, vous acceptez nos
Utilisation des cookies et Politique de confidentialité.