Como encontrar a causa da conta de usuário bloqueada no domínio do Windows AD

Após um incidente recente com o Outlook, fiquei pensando em como resolver com mais eficiência o seguinte problema:

Suponha uma infraestrutura de AD de tamanho pequeno a médio bastante típica: vários controladores de domínio, vários servidores internos e clientes Windows, vários serviços usando AD e LDAP para autenticação do usuário dentro da DMZ (retransmissão SMTP, VPN, Citrix etc.) e vários recursos internos todos os serviços confiam no AD para autenticação (Exchange, SQL Server, servidores de arquivos e impressão, servidores de serviços de terminal). Você tem acesso total a todos os sistemas, mas eles são um pouco numerosos (contando os clientes) para serem verificados individualmente.

Agora, suponha que, por algum motivo desconhecido, uma (ou mais) conta de usuário seja bloqueada devido à política de bloqueio de senha a cada poucos minutos.

• Qual seria a melhor maneira de encontrar o serviço / máquina responsável por isso?
• Supondo que a infraestrutura seja pura, o Windows padrão não possui nenhuma ferramenta de gerenciamento adicional e poucas alterações do padrão existem de alguma maneira que o processo de encontrar a causa desse bloqueio poderia ser acelerado ou aprimorado?
• O que poderia ser feito para melhorar a resiliência do sistema em relação a um DOS com bloqueio de conta? Desabilitar o bloqueio de conta é uma resposta óbvia, mas você se depara com a questão de os usuários terem acesso a senhas facilmente exploráveis, mesmo com a complexidade imposta.

Adicionando algo que não vejo nas respostas dadas.

Qual seria a melhor maneira de encontrar o serviço / máquina responsável por isso?

Você não pode simplesmente olhar para o log de segurança no PDCe, porque, embora o PDCe tenha as informações mais atualizadas sobre bloqueios de contas para todo o domínio, ele não possui as informações sobre de qual cliente (IP ou nome do host) das tentativas falhas de logon, assumindo que as tentativas falhas de logon ocorreram em outro controlador de domínio além do PDCe. O PDCe dirá que "a conta xyz foi bloqueada", mas não informará de onde, se os logons com falha estiverem ocorrendo em outro controlador de domínio no domínio. Somente o controlador de domínio que realmente validou o logon registrará a falha de logon, incluindo o endereço do cliente. (Também não traz RODCs para esta discussão.)

Há duas boas maneiras de descobrir de onde vêm as tentativas falhas de logon quando você possui vários controladores de domínio. Encaminhamento de evento e Ferramentas de Bloqueio de Conta da Microsoft .

Prefiro o encaminhamento de eventos para um local central. Encaminhar tentativas com falha de logon de todos os controladores de domínio para um servidor de log central. Então você só tem um lugar para procurar logons com falha em todo o seu domínio. Na verdade, eu pessoalmente não gosto muito das ferramentas de bloqueio de conta da Microsoft, então agora há uma boa maneira.

Encaminhamento de evento. Você vai amar.

Supondo que a infraestrutura seja pura, o Windows padrão não possui nenhuma ferramenta de gerenciamento adicional e poucas alterações do padrão existe alguma maneira de o processo de encontrar a causa desse bloqueio poder ser acelerado ou aprimorado?

Veja acima. Você pode então ter seu sistema de monitoramento, como SCOM ou Nagios ou o que quer que você use, vasculhar esse log de eventos único e explodir seu telefone celular com mensagens de texto ou qualquer outra coisa. Não é mais acelerado do que isso.

O que poderia ser feito para melhorar a resiliência do sistema em relação a um DOS com bloqueio de conta?

1. Educação do usuário. Diga a eles para parar de configurar os serviços do Windows para serem executados em suas contas de usuário de domínio, fazer logoff das sessões RDP quando terminar, ensiná-los a limpar o Cofre de Credenciais do Windows das senhas em cache do Outlook etc.
2. Use as Contas de serviço gerenciado, onde você pode fazer com que os usuários não precisem mais gerenciar senhas para essas contas. Os usuários estragam tudo. Se você escolher um usuário, ele sempre fará a escolha errada. Portanto, não lhes dê uma escolha.
3. Aplicação de tempos limite de sessão remota via GPO. Se um usuário estiver ocioso em uma sessão RDP por 6 horas, inicie-o.

Tivemos o mesmo problema ao limpar contas de administrador em um ambiente maior há algum tempo. Embora os logs de auditoria dos DCs forneçam tecnicamente as informações necessárias, decidimos implementar o produto ADAudit Plus do ManageEngine, que verifica esses logs e procura por tentativas de logon, juntamente com quaisquer alterações no AD. Usando um recurso de relatório interno e um pouco de trabalho do Excel, conseguimos rastrear (com bastante facilidade) a origem dos logons. No nosso caso, isso estava relacionado principalmente aos administradores que usaram contas de administrador em vez de contas de serviço ao implementar vários aplicativos.

O que poderia ser feito para melhorar a resiliência do sistema em relação a um DOS com bloqueio de conta?

Você não pode.

Há muitas coisas que podem queimar sua casa. Como um código simples para solicitar repetidamente endereços IP até que o escopo do DHCP esteja esgotado. Ou código simples que cria diretórios até que a MFT esteja cheia e você precise reformatar sua partição para restaurá-la. Você não pode proteger contra tudo.

Um cenário mais comum com bloqueios são as pessoas que inserem suas credenciais em uma variedade de dispositivos muito mais ampla do que era comum apenas alguns anos atrás. Como impressoras (para digitalizações de email) ou um smartphone ou tablet. Se eles esquecerem onde inseriram suas credenciais ou se não tiverem mais acesso ao dispositivo, é possível que o dispositivo continue tentando a autenticação para sempre. A autenticação de e-mail é um vetor difícil de rastrear esses dispositivos e, mesmo se você o fizer, o usuário pode não ter acesso a ele ou saber onde ele está. IP 10.4.5.27? Conheço um usuário que tinha que ligar para o suporte técnico todos os dias para desbloquear sua conta, depois fazia o logon imediatamente e a conta bloqueava novamente. Eles fizeram isso por meses. Eu disse a eles para renomear a conta.

A vida tem desincentivos, não podemos remover todos eles.