pl 
Zgłoszenia dotyczące resetowania haseł stanowią prawie 30% z wszystkich zgłoszeń, które trafiają do działów IT. Powoduje to, że odblokowywanie kont staje się nierozłączną częścią pracy administratorów. Oczywiście reguły blokowania kont Active Directory powinny być rygorystyczne. Jeśli jednak blokady powtarzają się zbyt często, może to kosztować firmę cenny czas, pieniądze i wysiłek, aby przywracać dostępy. Jak więc rozwiązać problem powtarzającej się blokady konta Active Directory? Odpowiem na to pytanie na przykładzie funkcjonalności systemu ADAudit Plus.
Istotnym jest, aby zrozumieć, dlaczego niepoprawne hasło zostało wielokrotnie użyte. Nieznajomość tej informacji może doprowadzić do niechcianego dostępu. Właśnie dlatego szybkie przeanalizowanie i wykrycie przyczyny blokady konta jest pilną potrzebą, aby użytkownicy nie pozostawali zablokowani przez zbyt długi czas.
Rodzaje blokady konta Active Directory
Zasady dotyczące blokowania kont są środkiem bezpieczeństwa, który ogranicza dostęp złośliwym użytkownikom i hakerom. Niemal wszystkie blokady użytkowników AD są spowodowane jednym z dwóch podstawowych problemów:
- Nieostrożni pracownicy zapominający hasła
W organizacji, która nie korzysta z pojedynczego logowania (SSO) pracownik używa średnio 27 różnych haseł do swoich potrzeb biznesowych. Oprócz dostępu do komputera stacjonarnego i VPN istnieje szeroki zestaw aplikacji, takich jak Outlook, Dropbox, G Suite, Salesforce, Amazon We Services (AWS), które wymagają użycia unikatowego hasła. To sprawia, że zapamiętanie przez pracownika wszystkich dostępów jest niezwykle trudne. Skutkuje to częstym blokowaniem konta.
Chociaż ten powód resetowania hasła jest powszechny, rozwiązanie go wymaga często zweryfikowania identyfikatora użytkownika i zresetowania hasła do konta AD.
- Hasło nakładane z buforowanych danych logowania
Ten rodzaj blokady konta, choć nie tak powszechny, jest znacznie trudniejszy do rozwiązania. Główna przyczyna blokady konta jest często niejasna. Dodatkowo pracownicy często korzystają z wielu urządzeń, aplikacji, usług Windows i nakładanie się haseł może spowodować zablokowanie konta użytkownika z dowolnego z tych źródeł.
W artykule skupimy się właśnie na takich powtarzających się blokadach kont, przeanalizujemy ich przyczyny i omówimy różne dostępne narzędzia do rozwiązania tego problemu.
Najczęstsze przyczyny blokowania konta według listy Microsoft Technet:
- Programy korzystające z danych logowania z pamięci podręcznej.
- Wygasłe poświadczenia z pamięci podręcznej używane przez usługi systemu Windows.
- Niski próg dla prób hasła.
- Pracownicy zalogowani na wielu urządzeniach.
- Zachowane nadmiarowe dane uwierzytelniające dla przechowywanych nazw użytkowników i haseł.
- Przestarzałe poświadczenia używane przez zaplanowane zadania.
- Nieprawidłowe mapowania dysków współdzielonych.
- Problemy z replikacją kont AD.
- Rozłączone sesje terminalowe na serwerze Windows.
Narzędzia, które pomagają znaleźć źródło powtarzających się blokad konta
Istnieje wiele narzędzi, które pomagają weryfikować źródło powtarzających się blokad konta. Jednak praca z większość z nich jest żmudna i czasochłonna. Są nimi:
1. Narzędzie Microsoft dla zarządzania zablokowanymi kontami
Firma Microsoft oferuje narzędzia takie jak LockoutStatus oraz EventCombMT. Natomiast niezawodne i dokładne korzystanie z narządzi Microsoft wymaga skonfigurowania wielu indywidualnych narzędzi, jak i rutynowej weryfikacji każdego składnika systemu Windows i nie tylko.
2. Skrypty PowerShell
Oprócz tego, że administratorzy muszą być świadomi języka skryptowego, używanie PowerShell wymaga ręcznej konfiguracji audytu zabezpieczeń AD. Obejmuje to również znajdowanie kontrolera domeny, który pełni rolę emulatora głównego kontrolera domeny, śledzenie zdarzeń windowsowych 4740 w podglądzie zdarzeń oraz analizowanie szczegółów znalezionych zdarzeń.
3. Examiner blokady konta
Rozwiązanie innej firmy, które może analizować różne składniki systemu Windows, takie jak zaplanowane zadania, obiekty COM, OWA, aplikacje i ActiveSync, pod kątem oznak nieaktualnych poświadczeń i nieprawidłowego mapowania. Pozwala szybko znaleźć źródło powtarzających się blokad kont.
Innym rozwiązaniem, które może zaradzić powtarzającym się blokadom konta Active Directory jest system ManageEngine ADAudit Plus. Narzędzie w łatwy sposób pozwala zweryfikować i rozwiązać problem z zablokowanymi kontami, a także:
- Śledzi stany zablokowanych kont wraz ze szczegółowymi informacjami dotyczącymi czasu blokady, maszyny itp.
- Analizuje usługi Windows, aplikacje, procesy i zaplanowane zadania systemu pod kątem nieaktualnych poświadczeń.
- Sprawdza, czy nie ma nieprawidłowo zmapowanych dysków sieciowych i odłączonych sesji pulpitu zdalnego.
- Znajduje historię niepowodzeń logowania związanych z tym zablokowanym kontem, aby uzyskać więcej kontekstu.
- Wykrywa nietypowe działania użytkowników, takie jak nietypowy czas lub liczba blokad konta, dzięki analizie zachowań użytkowników.
Jeżeli jesteś zainteresowany działaniem aplikacji ADAudit Plus zachęcam do skorzystać z bezpłatnych testów kontaktując się z nami przez sprzedaz@mwtsolutions.eu. Prezentacja systemu pozwoli osobiście przekonać się, w jaki sposób możemy zarządzać zablokowanymi użytkownikami oraz poznać wiele innych funkcji, które ma do zaoferowania to narzędzie.
