Windows ADドメインでロックされたユーザーアカウントの原因を見つける方法

Outlookでの最近の事件の後、私は次の問題をどのように最も効率的に解決できるのだろうと思っていました。

かなり典型的な中小規模のADインフラストラクチャを想定します：複数のDC、多数の内部サーバーとWindowsクライアント、DMZ内からのユーザー認証にADとLDAPを使用するいくつかのサービス（SMTPリレー、VPN、Citrixなど）およびいくつかの内部認証のためにすべてADに依存するサービス（Exchange、SQLサーバー、ファイルおよびプリントサーバー、ターミナルサービスサーバー）。すべてのシステムに完全にアクセスできますが、個々のチェックには少なすぎて（クライアントを数えます）。

何らかの未知の理由で、数分ごとにパスワードロックアウトポリシーのために1つ（または複数）のユーザーアカウントがロックアウトされると仮定します。

• これを担当するサービス/マシンを見つける最良の方法は何でしょうか？
• インフラストラクチャが純粋で、追加の管理ツールがなく、デフォルトからほとんど変更されていない標準のWindowsであると仮定すると、そのようなロックアウトの原因を見つけるプロセスを加速または改善できる方法はありますか？
• このようなアカウントロックアウトDOSに対するシステムの回復力を向上させるにはどうすればよいでしょうか？アカウントのロックアウトを無効にすることは明らかな答えですが、複雑さが強制されている場合でも、ユーザーが簡単に悪用可能なパスワードを使用できるという問題に直面します。

与えられた答えに見当たらないものを追加します。

これを担当するサービス/マシンを見つける最良の方法は何でしょうか？

あなたはできませんだけで PDCEがドメイン全体のアカウントのロックアウトに関する最新の情報を持っていながら、それがどのクライアント（IPまたはからの情報を持っていない、ので、PDCEにセキュリティログを見てホスト名）ログオン試行の失敗は、失敗したログオン試行がPDCe以外の別のDCで発生したことを前提としています。PDCeは、「アカウントxyzがロックアウトされた」と言いますが、ドメイン内の別のDCでログオンの失敗が発生した場合、どこからかは言いません。実際にログオンを検証したDCのみが、クライアントのアドレスを含むログオン失敗を記録します。（RODCをこの議論に持ち込むこともありません。）

複数のドメインコントローラがある場合に、ログオン試行の失敗の原因を見つけるには、2つの良い方法があります。イベント転送、およびMicrosoftのアカウントロックアウトツール。

イベントを中央の場所に転送することを好みます。失敗したログオン試行をすべてのドメインコントローラーから中央ログサーバーに転送します。次に、ドメイン全体で失敗したログオンを探す場所は1つだけです。実際、私は個人的にマイクロソフトのアカウントロックアウトツールをあまり好きではないので、1つの良い方法があります。

イベント転送。気に入ると思います。

インフラストラクチャが純粋で、追加の管理ツールがなく、デフォルトからほとんど変更されていない標準のWindowsであると仮定すると、そのようなロックアウトの原因を見つけるプロセスを加速または改善できる方法はありますか？

上記を参照。その後、SCOMやNagiosなどの監視システムを使用して、その単一のイベントログをとかし、携帯電話をテキストメッセージなどで爆破できます。それ以上の加速はありません。

このようなアカウントロックアウトDOSに対してシステムの回復力を向上させるにはどうすればよいでしょうか？

1. ユーザー教育。ドメインユーザーアカウントで実行するWindowsサービスの設定を停止し、完了したらRDPセッションからログオフし、OutlookのキャッシュされたパスワードのWindows資格情報ボールトをクリアする方法を教えます。
2. ユーザーがそれらのユーザーアカウントのパスワードを管理する必要がなくなるように、管理されたサービスアカウントを使用します。ユーザーはすべてを台無しにします。ユーザーに選択肢を与えると、ユーザーは常に間違った選択をします。だから彼らに選択肢を与えないでください。
3. GPOを介したリモートセッションタイムアウトの強制。ユーザーがRDPセッションで6時間アイドル状態の場合は、キックオフします。

しばらく前に、より大きな環境で管理者アカウントをクリーンアップする際にも同じ問題が発生しました。DCの監査ログは技術的に必要な情報を提供しますが、これらのログをスキャンしてADの変更とともにログオン試行を探すManageEngineのADAudit Plus製品を実装することにしました。組み込みのレポート機能と少しのExcelの機能を使用して、ログオン元を追跡（簡単に）できました。私たちの場合、それは主に、さまざまなアプリケーションを実装するときにサービスアカウントではなく管理者アカウントを使用した管理者に関連していました。

このようなアカウントロックアウトDOSに対してシステムの回復力を向上させるにはどうすればよいでしょうか？

できません。

あなたの家を焼き尽くすことができるものはたくさんあります。DHCPスコープが使い果たされるまでIPアドレスを繰り返し要求する単純なコードのように。または、MFTがいっぱいになるまでディレクトリを作成する単純なコードで、パーティションを再フォーマットして復元する必要があります。すべてに対して保護することはできません。

ロックアウトのより一般的なシナリオは、ほんの数年前に一般的だったよりもはるかに多様なデバイスに資格情報を入力する人々です。プリンター（電子メールスキャン用）、スマートフォン、タブレットなど。資格情報の入力場所を忘れた場合、またはデバイスにアクセスできなくなった場合は、デバイスが認証を永久に試行し続ける可能性があります。電子メール認証は、これらのデバイスを追跡するのが難しいベクトルであり、その場合でもユーザーはアクセスできないか、どこにあるかを知ることができません。IP 10.4.5.27？アカウントのロックを解除するために毎日ヘルプデスクに電話しなければならないユーザーがいることを知っています。その後、すぐにログオンし、アカウントが再びロックアウトされます。彼らはこれを何ヶ月も行いました。アカウントの名前を変更するように伝えました。

人生には阻害要因があり、それらすべてを取り除くことはできません。