A szigorú fiókzárolási politika elengedhetetlen a jelszó-találgatás és támadások megakadályozása érdekében, de fennáll annak a veszélye is, hogy kizárja a törvényes felhasználókat, ami értékes időt, pénzt és erőfeszítést jelent a vállalkozások számára.
Mivel a jelszó-visszaállítási kérelmek a teljes informatikai ügyfélszolgálati jegyek közel 30% -át teszik ki, a gyakori fiókzárlatok feloldása elengedhetetlen részévé válik a sysadmin munkájának. És mivel az alkalmazottak több eszköz között váltanak, és számos alkalmazással működnek együtt, az AD-fiók zárolásának forrásának megtalálása nehezebbé vált, mint valaha.
Fontos megérteni, hogy miért használták többször a rossz jelszót, azaz hogy használata rosszindulatú volt-e vagy sem, mert ennek az információnak a ismerete nem kívánt hozzáférést eredményezhet. Ezért van szükség a fiókzárolás kiváltó okának gyors elemzésére és észlelésére, hogy a felhasználói fiókok ne maradjanak sokáig kizárva.
Az AD-fiókok zárolásának típusai
A fiókzárolási házirend egy beépített biztonsági intézkedés, amely korlátozza a rosszindulatú felhasználókat és a hackereket abban, hogy törvénytelenül hozzáférjenek a hálózati erőforrásokhoz. Szinte minden AD-kizárást e két alapvető probléma egyike okozza:
- A gondatlan alkalmazottak elfelejtik jelszavukat
Egy szervezet csak annyira erős, mint a leggyengébb láncszeme. Egyetlen bejelentkezés használata nélkül az alkalmazott átlagosan körülbelül 27 jelszót használ üzleti igényeihez. Az asztali számítógépekhez és a VPN-hez való hozzáférés mellett az olyan alkalmazások hatalmas csomagja, mint az Outlook, a Dropbox, a G Suite, a Salesforce, az Amazon Web Services (AWS) és még sok más egyedi jelszavakat igényel. Ez rendkívül nehézzé teszi egy átlagos alkalmazott számára, hogy nyomon kövesse, milyen jelszavakat használnak, ami gyakori fiókzárlatokat eredményez.
Bár az ilyen típusú jelszó-visszaállítás elterjedt, a feloldás egyszerűen a felhasználó azonosítójának ellenőrzését és az AD-fiók jelszavának alaphelyzetbe állítását igényli.
- Jelszó átfedés a gyorsítótárazott hitelesítő adatok miatt
Az ilyen típusú fiókzárolást, bár nem annyira elterjedt, sokkal nehezebb megoldani, mert a fiókzárolás kiváltó oka gyakran homályos.
Ráadásul, mivel az alkalmazottak gyakran több eszközt, számos termelékenységi alkalmazást, Windows-szolgáltatást és egyebeket használnak, a jelszó átfedése elindíthatja a fiók zárolását ezek bármelyikéből.
Ebben a blogban beleássuk a fiók ilyen típusú zárolásába, elemezzük annak okait, és megvitatjuk a hibaelhárításhoz rendelkezésre álló különböző eszközöket.
A Microsoft Technet a fiókzárolás leggyakoribb okaiként az alábbiakat sorolja fel:
- Gyorsítótárazott hitelesítő adatokat használó programok
- A Windows-szolgáltatások által használt lejárt gyorsítótárazott hitelesítő adatok
- Alacsony küszöbérték a jelszó-kísérletekhez
- Több eszközön bejelentkezett alkalmazottak
- A tárolt felhasználónevek és jelszavak redundáns hitelesítő adatai
- Az ütemezett feladatok által használt elavult hitelesítő adatok
- Nem megfelelő megosztott meghajtóleképezések
- Az AD-fiók replikációs problémái
- Leválasztott terminál munkamenetek Windows-kiszolgálón
Eszközök, amelyek segítenek megtalálni az ismétlődő fiókzárlatok forrását
Számos eszköz segít az ismétlődő fiókzárlatok forrásának nyomon követésében. Ezek többsége munka- és időigényes.
- Microsoft-fiók zárolási és felügyeleti eszközei
A Microsoft a LockoutStatus és az EventCombMT eszközöket kínálja. Bár megbízható és pontos, a Microsoft eszközeinek használatához több egyedi eszközre van szükség, amelyeket be kell állítani, minden Windows-összetevő rutinszerű kézi vizsgálatát és így tovább.
- PowerShell-parancsfájlok
Amellett, hogy a rendszergazdák tisztában vannak a parancsfájl nyelvével, a PowerShell-parancsfájlok használatához manuális beállításra van szükség az AD biztonsági naplózásához. Ez magában foglalja az elsődleges tartományvezérlő emulátor szerepkörével rendelkezik tartományvezérlő megtalálását, a Windows 4740-es eseményazonosító nyomon követését a biztonsági eseménynaplókban, valamint a talált esemény részleteinek elemzését.
- Fiókzár-ellenörzők
Egy harmadik féltől származó megoldás, amely különböző Windows-összetevőket, például ütemezett feladatokat, COM-objektumokat, OWA-t, alkalmazásokat és ActiveSync-et elemez az elavult hitelesítő adatok és a nem megfelelő leképezés jeleire, hosszú utat tesz meg az ismételt fiókzárlatok forrásának megtalálásában.
Használja a ManageEngine ADAudit Plus fiókzárolást az ismétlődő AD-lokkolás egyszerű észleléséhez és hibaelhárításához.
- A fiók zárolási állapotának nyomon követése a zárolási időkre, gépekre és egyebekre vonatkozó részletekkel együtt.
- Elemezze a Windows-szolgáltatásokat, alkalmazásokat, folyamatokat és ütemezett feladatokat az elavult hitelesítő adatokhoz.
- Ellenőrizze, hogy megfelelő-e a hálózati meghajtóleképezés és a leválasztott távoli asztali munkamenet.
- Más környezetben is keresse meg a zárolt fiókhoz társított bejelentkezési hiba előzményeit.
- Érzékelje az atipikus felhasználói tevékenységeket, mint a szokatlan idő vagy a fiókzárlatok mennyisége a felhasználói viselkedéselemzéssel.
- És még sok más.
Töltse le ingyenes, 30 napos próbaverziónkat, hogy gyorsan észrevegye és megoldja az AD-fiókok zárolását.
2021 november 29
Szerző:
Kategória: Cikk Hírek