是什么导致我的域控制器每秒记录数十次成功的身份验证尝试?

7

我们的域包含大约15台服务器和大约30个工作站。服务器主要是2008r2,工作站主要是Windows7。两个DC是2012r2。每隔几周,我们的一个管理员帐户就会被锁定。我正在尝试缩小原因,但已经走到了尽头。

这就是我所拥有的。

PDC上的事件日志显示事件4776-审核成功:

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account:  username
Source Workstation: 
Error Code: 0x0

所有都使用相同的用户名,并且每秒重复出现几次。

根据事件ID,这些是NTLM登录名而不是Kerberos。尽管使用的身份验证类型对我来说不像剪切数量那么令人担忧。这种情况每秒发生几次,并且无限制地每隔几秒钟重复一次,无论是白天,晚上还是周末。

事件日志还显示此用户名的审核成功事件ID 4624(登录)和4634(注销),但是与“ Workstation”字段上方的事件相同。

我启用了详细的netlogon日志记录,并且netlogon.log显示 

02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation1) Entered
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation1) Returns 0x0
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Entered
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server1) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server1) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server2) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server2) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation3) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation3) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation4) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation5) Entered
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation4) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation5) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server3) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server3) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server4) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server4) Returns 0x0

等等等等。这些登录信息的明显来源(通过XYZ)可能包括来自网络的工作站和服务器。

显然,这看起来像自动化或脚本。由于登录通常都是成功的,因此我认为这不是入侵尝试。但是,有些登录有时会失败,但是我没有发现失败的任何模式,并且这种登录的发生频率极低,以至于(大多数情况下)它们不会将帐户锁定。存在一个的失败代码通常为0xc0000022(访问被拒绝)

我已从其中一台服务器禁用并卸载了远程监控代理(当前为Kaseya,但我们最终将迁移到LabTech),但是仍然看到源自该服务器的新事件,因此这排除了自动化任务。我还检查了几台服务器上的任务计划程序,没有发现任何异常。我已经检查了服务以验证登录帐户,并且该帐户未在任何服务中使用。

我在Netstat上运行了很长一段时间,主要看到了从“系统”和“系统空闲过程”到PDC的连接。我确实偶尔看到了来自spoolsrv和lsass和ismserv的连接(我正在测试的服务器是Citrix XenApp服务器,但是其他“源”服务器不在XenApp场中,当然“源”工作站也不在)。我停止了后台打印程序服务只是为了进行测试,它对登录事件没有任何影响。

我在MSP工作,这是我们的主要技术人员dom admin帐户,因此,确保它能够正常工作和安全是当务之急。我剩下的最后一个想法是更改密码,看看有什么破解,但不知道为此使用的帐户可能会带来灾难性的后果。但是,我怀疑这可能只是配置错误的广告。

有没有人曾经经历过类似的事情并且能够确定来源?

active-directory  windows-server-2008-r2  windows-server-2012-r2 
汤玛士
source
对于任何对服务器数量众多感到好奇的人,他们都拥有面向公众的SharePoint XenApp服务器,以便使用BYOD来实现高度移动的劳动力。他们还拥有以前的IT员工,他们在业务规模方面对基础架构有些过分关注。自从他们与我们签约以来,我们一直在努力使他们瘦一些,使其更适合他们的需求。
托马斯
您可能会尝试在其中一台服务器上安装Microsoft Network Monitor,开始捕获,等待服务器中的条目记录到netlogon日志中,然后查看捕获并查看是否可以在Network Monitor中找到对话。网络监视器应向您显示负责对话的过程。如果那还不足以缩小范围,您可以将Network Monitor与Process Monitor结合使用来确定负责的进程。
joeqwerty
不推荐使用Microsoft网络监视器,而由Microsoft消息分析器代替。与Wireshark交易相同。我进行了数据包捕获,发现绝对没有任何帮助。与NetLogon事件密切相关的唯一事件是WMI和RPC连接。
托马斯
是的,不建议使用NetMon,但它仍然是一个很好的工具。如果您之前没有使用过消息分析器,可能会有些不知所措。NetMon非常简单直观。我通常会先使用它。-至于您的捕获,RPC流量可能包含一些线索。
joeqwerty
是的,什么都没有。发送一个MSRPC绑定,接收Ack来建立加密会话,然后发送和接收一个包含NetrLogonSamLogonEx请求和响应的NRPC数据包,后两个被加密。源计算机上的调用进程是LSASS,它运行Netlogon服务。绑定流量的数据包数据中根本没有有用的细节,当然,加密的数据包对我来说毫无用处。
托马斯

Answers:

1

我建议进一步在DC上启用NTLM审核。使用默认域控制器策略,启用以下策略设置:

网络安全:限制NTLM:审核传入流量= 启用所有帐户的审核 网络安全:限制NTLM:审核此域中的NTLM身份验证= 启用所有 网络安全:限制NTLM:向远程服务器发送NTLM流量= 审核所有

https://support.symantec.com/zh_CN/article.HOWTO79508.html

https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/jj865682(v=ws.10)

启用后,在事件查看器中导航至:应用程序和服务日志> Microsoft> Windows> NTLM>操作性

将有时间戳记与您的netlogon事件时间戳记匹配的事件。该日志将显示实际的工作站名称。

特别是为了帮助您进一步识别源,此日志中的“安全通道名称”将有助于缩小进程的来源。

自制啤酒花
source
感谢您的回答。不幸的是,这个特定的客户不再是我们的客户,因此我无法尝试您的指示。我已经接受了您的回答,这是因为我对AD的理解告诉我,应该给我我需要的详细信息。(不知道为什么我没有考虑调整审计政策,但您对此提出了建议。)
Thomas
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.