一、通過檢查事件日志中以下的事件來找到鎖定原因:
用戶帳戶已被鎖定。用戶帳戶已被解鎖。由于未知的用戶名或錯誤密碼導致賬戶登錄失敗。密碼策略檢查 API 被調用。域控制器試圖驗證帳戶的憑據。Kerberos 預身份驗證失敗。域策略已更改:帳戶鎖定和密碼策略的更改。
密碼錯誤
二、單純利用windows系統(tǒng)自帶的工具去分析上述事件是充滿挑戰(zhàn)性的,原因如下:
①事件繁雜
在用戶沒有意識到他們的帳戶因遭受黑客攻擊而被鎖定時,黑客會通過暴力破解的方式進入用戶的網絡。由于事件的繁雜外加用戶可能會登錄到多臺計算機、服務或者通過遠程連接,使得IT管理員或服務臺技術員很難在短時間內找出帳戶鎖定原因。
②缺乏足夠的儲存空間
Windows事件查看器的存儲限制是4GB,因此分析和調查所需的日志可能早已不存在,也有可能會在調查過程中被覆蓋,這會使得IT管理員或服務臺技術員無法確定鎖定的原因。他們通常所能做的只是為用戶重置密碼,檢查每個組件,直到他們找到對應的組件。由于沒有足夠的登錄事件來進行分析, IT管理員或者服務臺技術員很難有效地找到賬戶真正被鎖定的原因。
簡單地說,Windows自帶的工具不具備快速有效解決帳戶鎖定的能力。
三、是什么簡化了賬戶鎖定分析?
卓豪的ADAudit Plus產品提供專門的帳戶鎖定分析方案。通過持續(xù)監(jiān)控和實時日志收集,為IT管理員或服務臺技術員提供清晰可見的報表,提供分析帳戶鎖定所需的所有必要數據。
①這些必要的數據包括:
每個鎖定實例的人員、時間、地點和原因的報表。這些報表是實時收集的 , 可以導出為 CSV、PDF、XML 和 HTML 格式。只需點擊一下鼠標,就可以調出在指定時間范圍內發(fā)生的每次鎖定事件的完整細節(jié)。
賬戶鎖定分析
使用用戶憑據的所有服務和窗口組件的詳細信息。這樣,任何發(fā)生過的賬號鎖定原因都可以在幾秒鐘內被發(fā)現(xiàn)。
鎖定原因
用戶最近的登錄歷史記錄,這對于破譯帳戶鎖定的原因非常有用。通過分析用戶的登錄歷史,IT管理員和服務臺技術員可以了解可疑登錄情況下存在的潛在威脅。
登錄歷史記錄
當特權用戶被鎖定或鎖定數量過高時,ADAudit Plus會發(fā)出即時警報。這些警報也可以直接以電子郵件或短信方式發(fā)送到IT管理員或服務臺技術員。
②為幫助管理員和技術人員更好地了解其域中的帳戶鎖定狀態(tài),ADAudit Plus 提供了大量預置報表,這些報表包括:
最近被鎖定的用戶頻繁鎖定的用戶最近解鎖的用戶頻繁解鎖的用戶
所有這些報表都列出了被鎖定的用戶帳戶以及關鍵的詳細信息,如被鎖定的時間和相關域控制器。這些報表幫助IT管理員跟蹤并密切關注經常被鎖定的用戶帳戶。如果IT管理員或服務臺技術員需要找出哪個用戶帳戶可能存在攻擊行為,他們可以通過檢查最近被鎖定的用戶來判斷。ADAudit Plus 的用戶行為分析通過使用動態(tài)閾值來發(fā)現(xiàn)用戶登錄活動的可疑數量以及持續(xù)時間。
ADAudit Plus
卓豪的ADAudit Plus 是一款IT 安全及合規(guī)的解決方案。它提供了有關對 Active Directory、Azure AD 和 Windows 服務器的200 多個特定事件的報告和實時電子郵件告警。此外,它還提供全面的智能訪問工作站和文件服務器,如NetApp 和EMC等。
好了,這篇文章就和大家分享到這里,希望可以幫助到大家。另外,想要實現(xiàn)投資穩(wěn)定盈利,建議大家可以多學習一些相關的課程內容,這里給大家推薦一個知識平臺——愛雅微課:https://ke.iya88.com/,里面提供了全網最全最實戰(zhàn)的課程,很多大佬都是該網站的會員,抓緊收藏起來吧!
本文內容由互聯(lián)網用戶自發(fā)貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權/違法違規(guī)的內容,請發(fā)送郵件至 [email protected] 進行舉報,一經查實,本站將立刻刪除。如若轉載,請注明出處:http://m.weightcontrolpatches.com/67000.html