Слабый пароль в Active Directory, как обнаружить?

В этой статье описано, как отслеживать события блокировки учетных записей пользователей на котроллерах домена Active Directory, определять с какого компьютера и из какой конкретно программы выполняется постоянная блокировка. Рассмотрим использование для поиска источника блокировки журнала безопасности Windows и скриптов PowerShell.

Проблематика

Аккаунт Active Directory обладает двумя идентификаторами – открытый и закрытый. Открытым принято считать логин, закрытым — пароль. Оба этих идентификатора участвуют в процессе аутентификации. Во время него пользователь вводит парольную фразу, с которой берется хеш-функция. Далее, происходит процесс сравнивания этого значения с значением, хранимым в базе При совпадении этих значений и соответствию логину — процесс аутентификации считается успешным.

Проблематика состоит в том, что даже при использовании политик паролей, технически возможно задать слабый пароль, например, значения Pa$$w0rd или Pa$$w0rd01. Это частное явление ввиду того, что пользователи очень редко думают о безопасности своих учетных записей. Для администраторов и инженеров информационной безопасности использование слабых паролей является проблемой и в качестве решения возможно использование PowerShell модуля DSInternals.

Данный модуль позволяет проверить используется ли значение слабой парольной фразы в качестве пароля для доменных служб Active Directory. Технически будет происходить взятие хеш-функции с заранее подготовленного словаря и сравнение со значениями в базе В случае совпадения, информация о проблемном аккаунте будет выведена в виде отчета.

Тестировать на продакшн системе можно, но с условием выполнения операций на тестовом контроллере домена. Его можно подготовить, восстановив контроллер домена из бекапа в изолированной среде.

Читайте также:  Как активировать Microsoft Office 2019/2016

Выявляем программу, причину блокировки учетной записи в AD

Итак, мы определили с какого компьютера или устройства была заблокирована учетная запись. Теперь хотелось бы понять, какая программа или процесс выполняет неудачные попытки входа и является источником блокировки.

Часто пользователи начинают жаловаться на блокировку своей учетной записи в домене после плановой смены пароля своей доменной учетной записи. Это наталкивает на мысль, что старый (неверный) пароль сохранен в некой программе, скрипте или службе, которая периодически пытается авторизоваться в домене с устаревшим паролем. Рассмотрим самые распространение места, в которых пользователь мог использовать свой старый пароль:

  1. Монтирование сетевого диска через net use (Map Drive)
  2. В заданиях планировщика Windows (Task Scheduler)
  3. В службах Windows, которые настроены на запуск из-под доменной учетной записи
  4. Сохранённые пароли в менеджере паролей в панели управления (Credential Manager)
  5. Браузеры
  6. Мобильные устройства (например, использующееся для доступа к корпоративной почте)
  7. Программы с автологином
  8. Незавершенные сессии пользователя на других компьютерах или терминальных серверах
  9. И др.
Выявляем программу, причину блокировки учетной записи в AD

Совет. Существует ряд сторонних утилит (в основном коммерческих) позволяющих администратору выполнить проверку удаленной машины и детектировать источник блокировки учетных записей. В качестве довольно популярного решения отметим Account Lockout Examiner от Netwrix.

Для более детального аудита блокировок на найденной машине необходимо включить ряд локальных политик аудита Windows. Для этого на локальном компьютере, на котором нужно отследить источник блокировки, откройте редактор групповых политик и в разделе Compute Configurations -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy включите политики:

  • Audit process tracking: Success , Failure
  • Audit logon events: Success , Failure

Дождитесь очередной блокировки учетной записи и найдите в журнале безопасности (Security) события с Event ID 4625. В нашем случае это событие выглядит так:

Читайте также:  Как скачать и установить обновление Windows 10 Anniversary Update?

Из описания события видно, что источник блокировки учетной записи – процесс (является компонентом Sharepoint). Осталось сообщить пользователю о том, что ему необходимо обновить свой пароль на веб-портале Sharepoint.

Выявляем программу, причину блокировки учетной записи в AD

После окончания анализа,  выявления и наказания виновника не забудьте отключить действие активированных групповых политик аудита.

В том случае, если вы так и не смогли выяснить причину блокировки учетной записи на конкретном компьютере, чтобы избежать постоянной блокировки учетки, стоит попробовать переименовать имя учетной записи пользователя в Active Directory. Это как правило самый действенный метод защиты от внезапных блокировок определенного пользователя.

Установите RSAT для версий и ниже

Установка RSAT и включение Active Directory в более старой версии Windows 10 занимает немного больше времени. Имейте в виду, что ограничение для редакций Enterprise и Professional по-прежнему действует. Давайте посмотрим, как включить Active Directory в версиях 1803 и ниже.

Установите RSAT для версий и ниже
  1. Запустите браузер вашего компьютера.
  2. Перейдите в Центр загрузки Microsoft и найдите Средства удаленного администрирования сервера для Windows 10.
  3. Нажмите кнопку «Скачать».
  4. Выберите последнюю версию, чтобы обеспечить максимальную совместимость.
  5. Нажмите кнопку «Далее» и дождитесь завершения загрузки.
  6. Затем нажмите клавишу «Win» на клавиатуре.
  7. Поиск панели управления.
  8. На панели управления нажмите на вкладку «Программы».
  9. Далее выберите «Программы и компоненты».
  10. Нажмите «Включить или отключить функции Windows».

  11. Разверните раздел «Инструменты удаленного администрирования сервера» в меню.
  12. Далее выберите «Инструменты администрирования ролей».
  13. Выберите «Инструменты AD LDS и AD DS».
  14. Установите флажок «Инструменты AD DS».

  15. Нажмите кнопку «ОК».

Параметр «Администрирование» теперь должен появиться в меню «Пуск». Вы должны найти там все инструменты Active Directory, и вы можете использовать и изменять их через это меню.

Установите RSAT для версий и ниже

— Добавление пользователя в группу «Администраторы»

Напоминаю — При создании учётной записи через PowerShell, она не будет состоять ни в одной из локальных групп[Пользователи, Администраторы…], а значит пока мы не добавили её в группу, толку от неё нет. Короче не забываем добавить пользователя в группу

Читайте также:  Как исправить, функция Windows: Интересное не работает в Windows 10.