Поиск источника блокирующего пользователя домена

Типичные ошибки в журнале событий

0xc000006a – Неверная попытка входа в систему была сделана следующим пользователем.

0xc0000234 – учетная запись пользователя была автоматически заблокирована, потому что было запрошено слишком много недопустимых попыток входа в систему или попыток смены пароля.

чтобы найти причину блокировки нужно зайти на домен контроллер.

скачать пакет утилит (можно найти на сайте MS называется ALTools) и устанавливаем на домен контроллер

из установленной папки запускаем утилиту LockoutStatus, выбираем File->Select Target

Target User Name – имя заблокированного пользователя

Target Domain Name – домен

галочку можно не ставить

нажимаем ОК

далее запускаем c админскими правами CMD и для включения расширенного лога  вводим команду

nltest /dbflag:0x2080ffff

по окончанию работ не забудьте ввести команду

nltest /dbflag:0x0

далее возвращаемся к LockoutStatus нажимаем правой кнопкой мыши на пользователе  и выбираем unlock Account. аккаунт пользователя разблокирован.

ждем когда поле Bad Pwd Count изменится с 0 на другое число, запоминаем время последнего неправильно введенного пароля( столбец Last Bad Pwd) переходим в папку файлом  и открваем его C:\Windows\debug\netlogon.log  или (%windir%\debug\)

далее анализируем логи. В поиске вводим время последнего неправильно введенного пароля и нам выдает примерно вот такой результат:

07/12 12:09:48 [LOGON] [4808] Домен: SamLogon: Transitive Network logon of (null)\имя пользователя from имя почтового сервера (via имя почтового сервера) Entered
07/12 12:09:48 [LOGON] [4808] Домен: SamLogon: Transitive Network logon of (null)\имя пользователя from имя почтового сервера (via имя почтового сервера) Returns 0xC000006A

В данном случае была атака на нашу организацию, подбирался пароль. с помощью wireshark был вычислен ip и заблокирован.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Капча загружается...

© 2018 FIL