Temos um domínio com cerca de 15 servidores e cerca de 30 estações de trabalho. Servidores são principalmente 2008r2 e estações de trabalho são principalmente Windows 7. Os dois DCs são 2012r2. A cada poucas semanas, uma de nossas contas de administrador é bloqueada. Estou tentando diminuir a causa e cheguei a um beco sem saída.
Aqui está o que eu tenho.
O log de eventos no PDC mostra o evento 4776 - êxito da auditoria:
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: username
Source Workstation:
Error Code: 0x0
Tudo com o mesmo nome de usuário e recorrente várias vezes por segundo.
Com base nas identificações de evento, esses são logons NTLM em vez de Kerberos. Embora o tipo de autenticação usada seja menos preocupante para mim do que a quantidade de cisalhamento. Isso acontece várias vezes por segundo e repete a cada par de segundos ad infinitum, todas as horas dia ou noite ou fim de semana.
O log de eventos também mostra os eventos de sucesso de auditoria ID 4624 (logon) e 4634 (logoff) para esse nome de usuário, mas, como no evento acima, o campo "estação de trabalho" está vazio.
Ativei o log detalhado do log de rede e o netlogon.log mostra
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Entered
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Returns 0x0
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Entered
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Returns 0x0
E assim por diante. A fonte aparente desses logons (via XYZ) pode incluir estações de trabalho e servidores de toda a rede.
Claramente, isso se parece com uma automação ou script. Como os logins geralmente têm êxito, não acredito que seja uma tentativa de invasão. Alguns logins, no entanto, falham de tempos em tempos, mas eu não identifiquei nenhum padrão para a falha e eles ocorrem com tão pouca frequência que (na maioria dos dias) eles não bloqueiam a conta. O código de falha quando existe um geralmente é 0xc0000022 (acesso negado)
Desabilitei e desinstalei nosso agente de monitoramento remoto (atualmente Kaseya, mas finalmente estamos mudando para o LabTech) de um dos servidores, mas ainda vi novos eventos originados nesse servidor, portanto, isso exclui as tarefas de automação. Também verifiquei o agendador de tarefas em alguns servidores e não encontrei nada fora do comum. Eu verifiquei os serviços para verificar as contas de logon e esta conta não é usada em nenhum serviço.
Corri o Netstat por um bom tempo e vi principalmente conexões com o PDC a partir de "Sistema" e "Sistema ocioso do sistema". Vi conexões ocasionais de spoolsrv, lsass e ismserv (o servidor em que estou testando é um servidor Citrix XenApp, mas outros servidores "de origem" não estão no farm do XenApp e, é claro, as estações de trabalho "de origem" também não. Parei o serviço de spooler de impressão apenas para testar e não teve nenhum impacto nos eventos de login.
Eu trabalho em um MSP e esta é a nossa conta principal de administrador de domínio técnico, por isso é de alta prioridade que esteja funcionando e seja seguro. A última idéia que me resta é alterar a senha e ver o que quebra, mas sem saber para que a conta está sendo usada, isso pode ter consequências potencialmente catastróficas. No entanto, minha suspeita é que isso possa ser apenas um AD mal configurado.
Alguém já experimentou algo assim antes e foi capaz de identificar a fonte?