Доброго времени суток.

АДэ на Windows 2008, уже два раза происходила никак не связанная с чем-либо блокировка всех аккаунтов пользователей, в том числе и админов домена, кроме Администратора (супервайзера) в разное время.

В журнале событий никакого криминала не обнаружил. Была настроена глобальная групповая политика блокировки пользователя после десяти неудачных попыток ввода пароля, но после второго раз отключил это - думал как-то связано. Пока полёт нормальный, но всё равно не понятно как это можно одновременно перебирать пароль у больше чем 1000 учётных записей и было ли это вообще?

Так где же копать и в какую сторону, чтоб разобраться с этой странной проблемой?

П.С. После недавнего обновления винды был обезврежен конфикер на АДэ, не уж-то он? Сейчас реально в домене работает только около 200 пользователей, находимся в стадии перехода со старой системы на новую.

С уважением.

не понятно как это можно одновременно перебирать пароль у больше чем 1000 учётных записей и было ли это вообще? »
kido очень даже может
осле недавнего обновления винды был обезврежен конфикер на АДэ, не уж-то он? »
именно он. если был на ад - значит точно есть на остальных машинах

По ходу дела да - это зверь. Нашёл подобную тему в разделе по Windows 2003, так что на усмотрение модератора - решайте удалять или оставить :)

П.С. Придётся в групповой политике пока не включать блокировку :( или можно как-то по другому?

С уважением.

Придётся в групповой политике пока не включать блокировку или можно как-то по другому? »
Задайте временную блокировку на 15-20 минут в случае более чем 20 попыток ввода неверного пароля.

П.С. Придётся в групповой политике пока не включать блокировку или можно как-то по другому? »
Настройте в DDCP политике аудит управления учетными записями. У вас появится событие блокирования в логе security на PDC эмуляторе и на КД, где непосредственно произошла блокировка, за номером 4740, в котором, помимо всего прочего будет указана раб. станция с которой производился подбор паролей. Соответственно отключайте эту рабю станцию от сети и "лечите".
Обязательно включите блокировку УЗ.

И еще добавлю - просмотри задачи планировщиков на локальных машинах, после этой вирусни там часто висят 5-6 задач ненужных. Я у себя вообще отключил эту службу, чтобы неповадно было. просмотреть можно командой at \\computername.
Задайте временную блокировку на 15-20 минут в случае более чем 20 попыток ввода неверного пароля »
Вот этого как раз делать не надо, пока червь живой. Иначе вся работа компании встанет после превышения лимита попыток ввода и блокировкой учетных записей. Надо вылавливать зловреда и потом уже чистить.

Поступил следующим образом:
Включил блокировку после 20 попыток ввода пароля и блокировку на 5 мин. и включил аудит уч. записей - успех.
И по коду 4740 в журнале Безопасность увидел таки заражённый комп, отключил его от сети. Проблема решилась, всем спасибо за советы.

П.С. А пользователи при таком раскладе не заметили проблем :)

С уважением.