1 前言
当用户密码输错次数达到设定值以后,会触发账户锁定,用户在一定的时间长度内无法再尝试登录。这是一种安全策略,拉长密码重试的时间长度,增加暴力破解密码的难度。
公司是古老的Windows2000域控制器,前一段时间出现用户账户莫名其妙被锁定的情况,锁定时间不固定,被锁定的账户不固定。解决这个问题颇费了些功夫。下面简单说一下解决方法。
2 开启账户审计
开启账户审计后,在域控制器事件查看器的安全性日志中会保存每个账户登录成功失败的记录,这是排除问题的基础。
如上图,在“Local Policies->Audit Policy”中,把Account Logon Events设置为Success和Failure,Account Management设置为Success,Logon Events设置为Success和Failure。
同时可以把安全性日志的大小设置为10,000K,这样日志中可以存储更多的信息。方法是打开事件查看器,在“安全性”日志上点鼠标右键,把“Maximum log size”设置为10,000,然后选中“Overwrite events as needed”。
3 排查
微软Account Lockout and Management Tools工具包中的EventCombMT.exe工具可在域管理员电脑或域控制器上运行,收集所有域控制器上与账户锁定相关的日志,然后根据这日志分析原因。
见下图,软件运行后,选择“Searches->Built In Searches->Accout Lockouts”,然后点“Search”按钮。搜索结束后,会在“C:\temp”目录为每个域控制器生成一个日志文件。
根据日志文件,可以看到有哪些用户名登录失败,还能看到是从哪台机器登录的。据此,我发现大量登录失败的尝试都源自同一台电脑,于是在这台电脑上安装了赛门铁克杀毒软件并全盘扫描,发现病毒W32.Downadup。清除后问题解决。
4 参考文档
4.1 Account Lockout Best Practices White Paper
Visits: 480