Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   [решено] AD и блокировка пользователей. (http://forum.oszone.net/showthread.php?t=199227)

Brat_ES 11-02-2011 16:35 1610373
AD и блокировка пользователей.
 
Доброго времени суток.

АДэ на Windows 2008, уже два раза происходила никак не связанная с чем-либо блокировка всех аккаунтов пользователей, в том числе и админов домена, кроме Администратора (супервайзера) в разное время.

В журнале событий никакого криминала не обнаружил. Была настроена глобальная групповая политика блокировки пользователя после десяти неудачных попыток ввода пароля, но после второго раз отключил это - думал как-то связано. Пока полёт нормальный, но всё равно не понятно как это можно одновременно перебирать пароль у больше чем 1000 учётных записей и было ли это вообще?

Так где же копать и в какую сторону, чтоб разобраться с этой странной проблемой?

П.С. После недавнего обновления винды был обезврежен конфикер на АДэ, не уж-то он? Сейчас реально в домене работает только около 200 пользователей, находимся в стадии перехода со старой системы на новую.

С уважением.

Destruction 11-02-2011 16:44 1610383
Цитата:
Цитата Brat_ES
не понятно как это можно одновременно перебирать пароль у больше чем 1000 учётных записей и было ли это вообще? »
kido очень даже может
Цитата:
Цитата Brat_ES
осле недавнего обновления винды был обезврежен конфикер на АДэ, не уж-то он? »
именно он. если был на ад - значит точно есть на остальных машинах

Brat_ES 11-02-2011 17:08 1610408
По ходу дела да - это зверь. Нашёл подобную тему в разделе по Windows 2003, так что на усмотрение модератора - решайте удалять или оставить :)

П.С. Придётся в групповой политике пока не включать блокировку :( или можно как-то по другому?

С уважением.

QRS 11-02-2011 20:36 1610586
Цитата:
Цитата Brat_ES
Придётся в групповой политике пока не включать блокировку или можно как-то по другому? »
Задайте временную блокировку на 15-20 минут в случае более чем 20 попыток ввода неверного пароля.

Ivan Bardeen 11-02-2011 20:46 1610596
Цитата:
Цитата Brat_ES
П.С. Придётся в групповой политике пока не включать блокировку или можно как-то по другому? »
Настройте в DDCP политике аудит управления учетными записями. У вас появится событие блокирования в логе security на PDC эмуляторе и на КД, где непосредственно произошла блокировка, за номером 4740, в котором, помимо всего прочего будет указана раб. станция с которой производился подбор паролей. Соответственно отключайте эту рабю станцию от сети и "лечите".
Обязательно включите блокировку УЗ.

Delirium 14-02-2011 01:17 1612288
И еще добавлю - просмотри задачи планировщиков на локальных машинах, после этой вирусни там часто висят 5-6 задач ненужных. Я у себя вообще отключил эту службу, чтобы неповадно было. просмотреть можно командой at \\computername.
Цитата:
Цитата QRS
Задайте временную блокировку на 15-20 минут в случае более чем 20 попыток ввода неверного пароля »
Вот этого как раз делать не надо, пока червь живой. Иначе вся работа компании встанет после превышения лимита попыток ввода и блокировкой учетных записей. Надо вылавливать зловреда и потом уже чистить.

Brat_ES 15-02-2011 13:04 1613420
Поступил следующим образом:
Включил блокировку после 20 попыток ввода пароля и блокировку на 5 мин. и включил аудит уч. записей - успех.
И по коду 4740 в журнале Безопасность увидел таки заражённый комп, отключил его от сети. Проблема решилась, всем спасибо за советы.

П.С. А пользователи при таком раскладе не заметили проблем :)

С уважением.


Время: 08:09.

Время: 08:09.
© OSzone.net 2001-