В последние несколько дней наблюдалась странная ситуация с одним из пользователей в рабочей сети - он постоянно блокировался из-за неправильного ввода пароля. В Active Directory настроена блокировка пользователя на 30 минут при пяти неправильных вводах пароля. Сначала никак не мог догадаться, в чем дело - единственное, что можно было найти в событиях - только предупреждение на одном из контроллеров домена про неудачную попытку синхронизации учетной записи пользователя, при проверке она оказывалась заблокированной.
Помни, админ - хакер не дремлет! |
После разблокировки учетной записи все работало, проверки репликации между контроллерами домена и принудительная репликация проходили без ошибок и предупреждений. Как говорится, мистика, но мистики в IT не бывает, шаманы с бубном возле компьютера - это миф из далёкого прошлого, когда компьютеры были большими.
Найти причину помогла подсказка на одном из англоязычных сайтов - найти ссылку уже не получится, но идея в следующем - надо найти компьютер, с которого происходит событие авторизации, в данном случае приводящее к блокировке учетной записи пользователя. Для этого в журнале событий на том контроллере домена, на котором появляется ошибка репликации надо в журнале аудита сделать фильтр по событию 4740 - в событии будет виден компьютер, с которого произошла попытка авторизации пользователя. В моём случае это был почтовый сервер, что меня удивило.
При анализе логов почтового сервера оказалось, что учетная запись этого пользователя каким-то образом все же утекла наружу, правда, без пароля, и по ней идёт постоянный подбор паролей, а так как авторизация пользователя реализована через Active Directory -
то политика безопасности успешно блокировала пользователя - наконец-то причина найдена. Попытки настроить безопасность для скопрометированной учетной записи успехом не увенчались - если учетка утекла, то защищать её уже поздно. В итоге пользователю была создана новая учетная запись, перенесены данные, старая учетная запись удалена везде - после чего попытки подбора и блокировки естественно, прекратились.
При аккуратном разговоре с пользователем выяснилось, что было открыто непонятное приложение из почты - вот и причина утечки учетной записи. Вообще - это проблема последнего времени в почте - приходит письмо с псевдоофициальным текстом, очень похожим на рабочее письмо, а в приложении лежит подарок, делающий своё черное дело.
По итогам - проведено разъяснение с конкретным пользователем и со всеми пользователями сети, повышена безопасность почтового сервера, кроме того - убедился, что угрозы информационной безопасности становятся всё более реальными.
Комментариев нет:
Отправить комментарий