AD域的账户锁定策略属于计算机策略,所以仅限加了域的计算机,域用户登录才会生效,而如果exchange和网站来调用AD域要实现账户锁定的话,需要使用针对账户的密码安全策略。具体配置如下:
https://blog.csdn.net/weixin_45694548/article/details/131906068
今天的HVV中发现供应链邮箱账户密码爆破攻击,虽然用户在AD域配置了账号锁定策略,但却是仅限于域内计算机,而不是针对账户的,所以这个锁定策略是无效的(通过对邮箱账号的测试以及组策略建模发现原先的用户账号锁定策略是无效的)。
通过监视 AD Audit 试用版软件,检测到被爆破的账户和途径(exchange邮箱爆破);
处置策略:
1、查找百度重新设置用户账号锁定策略;
2、让对应用户迅速修改邮箱账号密码
3、建议使用科来全流量追溯系统捕获到该攻击IP实现追溯
因为我们是分支单位,我并没有去做流量捕获,仅仅做了防火墙日志转存。后期观察是否会做针对其他账号的爆破,如果有的话需要封堵对应IP
并且由于是通过加密邮件协议爆破导致APT没有产生相应的告警
&((objectclass=user)(lockouttime>=1)) LDAP 在域中查找被锁定账户语句 可以看到被爆破用户已经被锁定
下图为策略具体配置方式