Домен Active Directory - постоянно блокируются учетные записи

Все началось с того что пара пользователей стали регулярно блокироваться. Стандартный поиск по «Просмотр событий» показал вот такую картину:

Компьютер попытался проверить учетные данные учетной записи.

Пакет проверки подлинности:	MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа:	TESTER
Исходная рабочая станция:	
Код ошибки:	0xc000006a

Хочется отметить, что «Исходная рабочая станция» - пусто, никаких данных нет.

Так же в логах присутствовали коды ошибок 0xc000006a и 0xc0000234

Интернет подсказал что они означают:

0xc000006a – An invalid attempt to login has been made by the following user.
0xc0000234 – The user account has been automatically locked because too many invalid logon attempts or password change attempts have been requested.

Гугление и чтение умных и полезных статеек (например вот: https://habrahabr.ru/company/netwrix/blog/148501/) привели к необходимости включить расширенный лог - на контроллерах домена включил

nltest /dbflag:0x2080ffff

не забыть потом выключить командой

nltest /dbflag:0x0

и начал анализировать результат в файле C:\Windows\debug\netlogon.log руками или чем-то вроде

type C:\Windows\debug\netlogon.log | findstr MYLOGIN

И источник проблемы был найден - из дружественного домена приходило огромное количество запросов на авторизацию, нечто вроде:

10/13 21:32:39 [LOGON] MY-DOMAIN: SamLogon: Transitive Network logon of MY-DOMAIN\TESTER from  (via DC03) Entered
10/13 21:32:39 [LOGON] MY-DOMAIN: SamLogon: Transitive Network logon of MY-DOMAIN\TESTER from  (via DC03) Returns 0xC000006A

Понятно, работает какая-то зараза. Ну что же - мяч не на нашей стороне и это уже хорошо. Через некоторое время коллеги ответили - действительно, долбились через их RDP-сервера. Прикрутили скриптик, блокирующий перебирателей и наступила тишина. Кстати, на свежеподнятом linux-сервере я всегда первым делом ставлю fail2ban, это уже рефлекс.

Решений существует куча, например:

Как вариант защиты пользователей - можно разрешить вход только с определенных компьютеров чтобы обезопасить учетные записи (Учетная запись пользователя → Свойства → Учетная запись → Вход на… → Только на указанные компьютеры).

  • software/microsoft/account-locked.txt
  • Последнее изменение: 2020/05/08 23:52
  • fireball