약 15 개의 서버와 약 30 개의 워크 스테이션이있는 도메인이 있습니다. 서버는 대부분 2008r2이고 워크 스테이션은 대부분 Windows 7입니다. 두 DC는 2012r2입니다. 몇 주마다 관리자 계정 중 하나가 잠 깁니다. 원인을 좁히려 고하는데 막 다른 길에 도달했습니다.

여기 내가 가진 것입니다.

PDC의 이벤트 로그에 이벤트 4776-감사 성공이 표시됩니다.

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account:  username
Source Workstation:
Error Code: 0x0

모두 동일한 사용자 이름으로 초당 몇 번씩 반복됩니다.

이벤트 ID를 기반으로하는 것은 Kerberos가 아닌 NTLM 로그인입니다. 사용 된 인증 유형이 전단 수량보다 걱정이 적습니다. 이 작업은 1 초에 몇 번 발생하며 몇 시간마다 하루 종일 밤낮이나 주말마다 반복됩니다.

이벤트 로그에는이 사용자 이름에 대한 감사 성공 이벤트 ID 4624 (로그온) 및 4634 (로그 오프)가 표시되지만 “워크 스테이션”필드 위의 이벤트는 비어 있습니다.

자세한 netlogon 로깅을 활성화하면 netlogon.log가 표시됩니다.

02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation1) Entered
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation1) Returns 0x0
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Entered
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server1) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server1) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server2) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server2) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation3) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation3) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation4) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation5) Entered
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation4) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation5) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server3) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server3) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server4) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server4) Returns 0x0

그리고 등등. (XYZ를 통한) 이러한 로그인의 명백한 출처에는 네트워크의 워크 스테이션과 서버가 포함될 수 있습니다.

분명히 이것은 자동화 또는 스크립트처럼 보입니다. 로그인은 일반적으로 모두 성공적이므로 침입 시도라고 생각하지 않습니다. 그러나 일부 로그인은 때때로 실패하지만 실패에 대한 패턴을 식별하지 못하여 (대부분의 경우) 계정을 잠그지 않는 경우가 드물게 발생합니다. 오류 코드가있는 경우 일반적으로 0xc0000022 (액세스 거부)

서버 중 하나에서 원격 모니터링 에이전트 (현재 Kaseya, 그러나 마침내 LabTech로 이동)를 비활성화하고 제거했지만 여전히 해당 서버에서 발생하는 새로운 이벤트를 보았으므로 자동화 작업이 제외됩니다. 또한 두 대의 서버에서 작업 스케줄러를 확인한 결과 평범한 것이 없습니다. 로그온 계정을 확인하기 위해 서비스를 확인했으며이 계정은 어떤 서비스에도 사용되지 않습니다.

Netstat를 오랫동안 실행했으며 주로 “시스템”및 “시스템 유휴 프로세스”에서 PDC로 연결되는 것을 보았습니다. spoolsrv 및 lsass 및 ismserv에서 가끔 연결되는 것을 보았습니다 (테스트 할 서버는 Citrix XenApp 서버이지만 다른 “소스”서버는 XenApp 팜에 없으며 물론 “소스”워크 스테이션도 아닙니다). 테스트 스풀러 서비스를 중지하여 로그인 이벤트에 영향을 미치지 않았습니다.

저는 MSP에서 근무하며 이것이 기본 기술자 인 dom 관리자 계정이므로 작동하고 안전하게 보호하는 것이 가장 중요합니다. 내가 남긴 마지막 아이디어는 암호를 변경하고 깨진 부분을 확인하는 것이지만 계정이 무엇인지 알지 못하면 잠재적으로 치명적인 결과를 초래할 수 있습니다. 그러나 내 생각에 이것은 잘못 구성된 AD 일 수 있습니다.

누구든지 전에 이와 같은 경험이 있고 소스를 식별 할 수 있습니까?

답변