排查域账户频繁锁定

最新推荐文章于 2024-05-16 15:36:51 发布
最新推荐文章于 2024-05-16 15:36:51 发布
阅读量9.2k 收藏 16
点赞数 3
文章标签: NTLM 账户锁定 登录失败 account Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qishine/article/details/121496916
版权

最近2周一直被一个问题困扰,有用户频繁被锁定。但是无法找到用户从哪里发送的验证信息。

原因是为了加强安全监控,启用了用户账户锁定的通知。这个锁定通知是通过事件日志结合计划任务发送的,具体如何操作可以参考之前的文章《监控账户登录》或者《Windows 2012 R2 计划任务发送邮件》。

账户被锁定的唯一原因就是频繁的提供错误凭据做身份验证。当错误次数超过组策略里配置的限制次数后就会被锁定一段时间。锁定时间同样也是在组策略里配置的。这种锁定策略可以有效的保护账户安全,避免暴力破解。

现在账户被频繁锁定,我们必须找到源头,然后判断是否存在攻击。一旦用户账户被盗取,之后会引发一系列的垃圾邮件,病毒传播等问题。账户锁定的事件ID是4740,在PDC上会记录。

 这里通常会记录客户端的计算机名,Source Workstation。但是这里记录的却是WORKSTATION。一般不会有计算机会改成这个名字的。后来经过2天的查找,也没有找到这个名为 WORKSTATION的计算机。

进一步检查安全日志,会发现有4776的登录失败的日志。但是记录的也只是WORKSTATION。4776,MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 只能说明这是一个NTLM的验证行为。并不是Kerberos验证,否则会有4771的日志,并且能显示客户端IP。0xC000006A表示用户名正确,但是密码错误。

最低0.47元/天 解锁文章
qishine
关注
  • 3
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用户锁定策略
谢公子的博客
03-02 3947
默认情况下,用户是不锁定的,即密码错误次数再多也不锁定。 net accounts /domain 我们可以手动修改Default Domain Policy组策略来更改账号锁定策略。 然后使用密码喷洒工具进行喷洒五次测试,再用该账号进行登录尝试,可以看到显示当前用户被锁定。 在域控这边可以看到hack用户已经被锁定了 ...
环境账号原因和处理方和使用工具
01-18
环境账号原因和处理方,通这个工具能够快速定位到登录的时间,那台PC,IP地址是多少
内检测账号情况的工具
07-22
检查AD账号锁定状态,“什么时候被”,“在哪台服务器被”,“输错密码已经几次了”
账号频繁
weixin_46618348的博客
06-08 1343
然后到对应DC日志上查看被的原因,打开事件管理器-安全日志-查找-输入工号即可。使用工具LockoutStatus.exe 查看在那台域控上被
中某个帐号老是被锁定
weixin_33725126的博客
10-10 2204
1、在DC上开审核,然后在安全事件日志上看失败的审核,是从那来的2、安装Windows Update、安装防毒软件扫毒、扫***审核中,你要打开失败审核的功能,然后再事件日志中,去过滤,只查看失败的审核! 如果是某一个账号经常锁定,你要在他使用的电脑上去查下: 开始、控制面板、用户和账号、高级、管理密码,看这里是不是有保存账号及旧的密码,如有,请删除! 开启审核的方法:a. ...
如何查询账户锁定的原因
weixin_42494218的博客
03-26 1346
如何查询账户锁定的原因
windows 用户频繁锁定怎么解决
最新发布
qq_39568318的博客
05-16 505
windows 用户自从加频繁出现登录提示“账户锁定,请稍后”;需要连续登录几次才能正常进入桌面,大佬有知道这是什么情况吗?
查找Active Directory账号频繁锁定的原因
热门推荐
李志坤的博客
06-03 1万+
Active Directory账号锁定是因为该账号的密码频繁输入错误,超出了组策略的安全策略设置的阈值,所以就被锁定了,手动解除锁定后,不一会儿又会被锁定,所以一定要查出是哪台计算机,哪个应用程序导致的账号锁定,才能从根源上解决问题,经我查阅资料及测试,该操作分为两个步骤: 一、查找导致账号锁定的源计算机 二、登录源计算机查找导致账号锁定的应用程序 详细操作如下: 一、查找导致账...
用户频繁锁定怎么解决_win10系统无法登陆提示引用账户当前已锁定,且可能无法登录的解决方法...
weixin_39593744的博客
12-03 9630
根据专家的说法,“引用账户当前已锁定,且可能无法登录”,Windows 10系统通常会出现错误,该系统属于具有配置的帐户锁定阈值策略的。此外,如果计算机具有配置了帐户锁定阈值策略的多个帐户,则可能会在输入错误密码后暂时锁定您的帐户。不过,您不用担心,因为解您的帐户并不困难。唯一的问题(如果它可能被称为问题)是“该账户已被锁定,可能无法登陆”错误修复需要域控制器的干预。注意:这些步骤仅适用于wi...
用户频繁锁定怎么解决_Oracle11g用户频繁锁定并且解后不允许登录
weixin_39832448的博客
12-02 467
原因有可能是oracle的密码过期机制导致的:一、由于Oracle中默认在default概要文件中设置了“PASSWORD_LIFE_TIME=180天”所导致。解决办法:1、查看用户用的哪种profile策略,一般是default:select username,profile from dba_users; 2、查看指定概要文件(如default)的密码有效期设置:select * from...
账号锁定
lzq_201603的博客
12-05 2690
用户修改密码后,不知道哪里保存了密码,导致账号频繁锁定,用户不胜其烦      1、参考《解决方案:诊断帐号被Lockout的原因》 找到被的计算机并解 http://delxu.blog.51cto.com/975660/232451     2、直接取消特殊用户的锁定限制,简单粗暴
Oracle数据库账号锁定解决方法
01-19
本文就介绍了这一过程,经由过程慢慢排查我们就能找到该故障的原因了。 下面记录下查找这个题目的步调。 1. 找到账号按时候 哄骗sqlplus或者sqldeveloper,查询账号锁定的时候,相干语句如下: –批改当前会话...
如何应对网站登录频繁失败的情况
此外,一些安全策略也可能导致登录失败,比如多次输入错误密码后锁定账户,或者用户的 IP 地址被封禁。综上所述,登录失败可能是由用户操作问题,网络故障或者安全策略所致。在解决这类问题时,需要仔
AD中的所有帐户经常被锁定
weixin_34192816的博客
11-27 945
由于造成帐号锁定的原因较多,建议您尝试以下操作: 1. 由于病毒的原因,可能会造成帐号被锁定的现象。建议登陆到经常使用该锁定帐号的计算机上,尝试下面的在线扫描网站进行杀毒: Trend http://www.housecall.antivirus.com MacAfee: http://www.mcafee.com 2. 请您检查是否针对该帐号设置了...
【系统运维】如何查找用户账号锁定位置
aladinggao的博客
05-14 418
P.S. 解释一下域控很多的情况,用户A是一家美国的跨国公司,AD环境里存在多个站点,美国总部是根A.com,下面有多个子,比如中国CN.A.com, 亚太AP.A.com, 欧洲EU.A.com...每个站点里都搭建了各个域控,相互之间同步、备份。如果AD环境较简单还好说,但如果域控很多,要定位用户账号在哪里就有点小麻烦了,比如开发人员可能会频繁登录多台服务器,如果某台服务器缓存了用户账号,一旦账号,该如何定位源头?【问题】AD环境下,经常会遇到用户账号因输错密码次数超限而被的情况。
用户频繁锁定怎么解决_海康录像机“用户被锁定”“网络不可达”?成因及解决办法...
weixin_39830233的博客
11-24 2009
日常施工过程中,海康的监控系统会出现 “用户被锁定”“网络不可达”,那么,什么原因会出现这两个提示呢?一、首先说一下普通录像机通道状态报错“用户被锁定”问题形成的原因1. 摄像机密码与录像机密码不一致的情况下点了“+”直接添加,不成功后多次重复用此方式添加;2. 自定义添加时输入密码错误次数过多;解决方法:简单说就是重启然后再正常添加1. 主菜单—通道管理中删除通道管理中未添加成功的摄像机。2. ...
域控锁定计算机和用户,用户频繁锁定
weixin_36450668的博客
06-20 716
最近发现大量用户频繁锁定,日志如下:事件类型: 审核失败事件来源: Security事件种类: 帐户登录事件 ID: 675日期: 2010-1-28事件: 14:33:16用户: NT AUTHORITY\SYSTEM计算机: AD01描述:预验证失败:用户名: m_scxj用户 ID:domain\m...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值