首页 > 安全 > 网站安全 >

从Conficker蠕虫看AD帐号锁定

2009-04-03

Asukas Blog 2个礼拜前的今天,我在外面上HOL,结果我的同事打电话跟我说单位的很多用户反映,他们的帐号都被锁了,本来AD里面锁帐号的是3次错误输入就锁,一般偶尔有用户反映帐号被锁,但是大规模被锁,我觉得肯定有问题了。 回来后

Asukas Blog

2个礼拜前的今天,我在外面上HOL,结果我的同事打电话跟我说单位的很多用户反映,他们的帐号都被锁了,本来AD里面锁帐号的是3次错误输入就锁,一般偶尔有用户反映帐号被锁,但是大规模被锁,我觉得肯定有问题了。

回来后,看了一下Log,675的很多,就是说在猜测密码,我怀疑有黑客攻击,然后把主要报错的网段的光纤给拔掉,于是乎675的日志全部没有,而且帐号自动解锁,这很有可能就是蠕虫了。

上网搜了一下,果然有类似蠕虫----Downadup,这个蠕虫有个更好听的名字叫---Conficker

微软昨天也发布了关于这个蠕虫的专题页面

http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx

知道了原因,接下来要做的很简单,交给各个部门的网管员:

1.打上最新的补丁,不准漏网

2.用Symantec的专杀,昨天Symantec的工程师通知我Release了一个新的版本

jsp?docid=2009-011316-0247-99 href="http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99">http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99

3.把企业客户端的Symantec SAV都更新到最新版本,也不准有漏网,其实平时都是自动更新的,但是部分客户端还是有问题

4.把360安全卫士的U盘自动保护给打开

现在蠕虫基本得到控制。

然后,我想到了关于AD帐号锁定有一个白皮书,我一直搁着没看过,下载地址:

aspx?FamilyID=8C8E0D90-A13B-4977-A4FC-3E2B67E3748E&displaylang=en href="http://www.microsoft.com/downloads/details.aspx?FamilyID=8C8E0D90-A13B-4977-A4FC-3E2B67E3748E&displaylang=en">http://www.microsoft.com/downloads/details.aspx?FamilyID=8C8E0D90-A13B-4977-A4FC-3E2B67E3748E&displaylang=en

其中介绍了各种错误日志,并且在最后推荐了几个微软的小工具,用于AD帐号锁定排错

我自己总结了一下:

首先在组策略里面开启审核:Account Logon Events,如果需要DC上查看,就要编辑DC的策略

Log分析

675:密码不对

clip_image001

672:输入一个错误的用户名

clip_image002

644:锁帐号(注意Type是成功)

clip_image003

671:解锁帐号

clip_image004

2.工具

LockoutStatus.exe

快速查找AD里用户帐号状态

clip_image005

ALockout.dll Tool

分析哪个Process导致帐号被锁

clip_image006

ALoInfo.exe

查看一个计算机上的帐号状态

clip_image007

AcctInfo.dll

扩展标签,查看帐号状态

clip_image008

EventCombMT.exe

专门收集AD里面计算机的各种Log

找到个综合应用的文章:

诊断帐号被Lockout的原因

http://hi.baidu.com/hnwyh520/blog/item/83296788b6563292a4c272b8.html

clip_image009

最后又想到在这次解决问题的过程中,同事问我,如果AD管理员的密码忘记了怎么办,我说可以用一个工具恢复,这个工具是我的兄弟洛洛开发的一个基于WinPE的密码恢复工具

image

下载地址:http://www.mcse.org.cn/showtopic-9738.html

相关文章
最新文章
热点推荐