NetWrix Event Log Manager
NetWrix Event Log Manager — инструмент для объединения журналов событий, оповещения и архивирования, поддерживающий сбор журналов событий с многочисленных компьютеров сети, предупреждающий о критических событиях и централизованно сохраняющий все события в сжатом формате для удобства анализа архивных данных журналов.
Основные функции:
- архивирование журналов событий
- объединение журналов событий
- оповещения в режиме реального времени
- веб-отчеты
- готовые отчеты по соответствию требованиям информационной безопасности и нормативным документам
Скачать: netwrix.com/ru/event_log_management.html
Что такое UEFI
Система BIOS, разработанная свыше тридцати лет назад, уже лет пятнадцать считается реликтом, однако достаточно долго не было соответствующих альтернатив.
Система UEFI (Unified Extensible Firmware Interface) появилась в далеком 1998 году как Intel Boot Initiative. В 2005 году был специально создан консорциум UEFI Forum, основными членами которого помимо Intel, стали AMD, Apple, IBM, Microsoft и ряд других.
В отличие от загрузочного кода BIOS, который всегда жестко прошит в соответствующем чипе на системной плате, куда более обширные по размеру коды UEFI находятся в специальной директории /EFI/, место физического расположения которой может быть самым разнообразным — от микросхемы памяти на плате или раздела на жестком диске компьютера и до внешнего сетевого хранилища.
Стандартно, разметка диска при применении UEFI выглядит следующим образом.
Рисунок 1 Создание структуры разделов в разметке GPT на ПК с UEFI
Для нас основной проблемой будет то, что загрузочный диск под Elcomsoft System Recovery просто не увидит данный жесткий диск.
Именно поэтому была создана новая версия ESR с поддержкой UEFI. Фактически, если исходить из набора функций, мы имеем перед собой все тот же набор, но уже созданный на базе загрузки под Windows 10 с поддержкой UEFI.
Elcomsoft System Recovery позволяет сбросить пароли к учётным записям, в то же время включая ряд атак, с помощью которых в ряде случаев за короткое время могут быть найдены оригинальные пароли.
Elcomsoft System Recovery разблокирует учётные записи Администратора и других пользователей в системах Windows Windows 7, Windows 8/8.1, Windows 10, а также множество устаревших систем, включая Windows Vista, Windows XP, Windows 2000 и Windows NT, включая все серверные редакции. Поддерживаются как 32-битные, так и 64-битные версии.
Non-owner Mailbox Access Reporter
Non-owner Mailbox Access Reporter: БЕСПЛАТНЫЙ инструмент NetWrix Non-owner Mailbox Access Reporter фиксирует все факты доступа администраторов и других пользователей к чужим почтовым ящикам.Кто получал доступ и к каким почтовым ящикам за последний день, месяц и год — решение предоставит точные данные, позволяя распознать несанкционированные действия со стороны пользователей с избыточными или неверно заданными правами. Потенциально подобная активность может быть связана с хищением конфиденциальной информации из почтовых ящиков директоров и руководителей компании. Аудит доступа к чужим почтовым ящикам с составлением отчетов — гарантия соблюдения корпоративных политик и требований информационной безопасности.
Скачать: netwrix.com/mailbox_access_auditing.html
Решение
Внимание! В этом разделе, описании метода или задачи содержатся сведения об изменении реестра. Однако неправильное его изменение может привести к серьезным проблемам
Поэтому такие действия следует выполнять очень внимательно. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Как создать резервную копию и восстановить реестр в WindowsДля устранения этой проблемы используйте другую неповрежденную и установленную локально программу заставки (например, Logon.scr).
Запустите редактор реестра (Regedit32.exe).
Найдите значение в следующем разделе реестра:
В меню Правка выберите пункт Строка, введите logon.scr и нажмите кнопку ОК.
Найдите параметр ScreenSaverIsSecure.
В меню Правка выберите пункт Строка, введите 0 и нажмите кнопку ОК.
Закройте редактор реестра.
ВРЕМЕННОЕ РЕШЕНИЕ
Для решения этой проблемы воспользуйтесь соответствующим способом.
Нажмите сочетание клавиш CTRL+ALT+DELETE для снятия блокировки.
Введите учетные данные последнего вошедшего в систему пользователя и нажмите кнопку ОК.
После исчезновения диалогового окна Снятие блокировки компьютера нажмите клавиши CTRL+ALT+DELETE и войдите в систему, как обычно.
С помощью средства выключения в наборе Microsoft Windows Resource Kit выключите заблокированный компьютер. На заблокированном компьютере отображается диалоговое окно Завершение работы системы, но перезагрузка компьютера не происходит.
По истечении времени завершения работы отображается диалоговое окно Операционная система Windows.
До активизации экранной заставки нажмите сочетание клавиш CTRL+ALT+DELETE и войдите в систему обычным образом.
ПРИМЕЧАНИЕ. Если для входа в систему не используется ни один из этих способов, необходимо перезагрузить компьютер и войти в систему до запуска программы экранной заставки.
В этой статье мы покажем, как отслеживать события блокировки учеток пользователей на котроллерах домена Active Directory, определять с какого компьютера и из какой конкретно программы постоянно блокируется учетная запись пользователя. Для поиска источника блокировки аккаунтов пользователей можно использовать журнал безопасности Windows, скрипты PowerShell или утилиту Account Lockout and Management Tools (Lockoutstatus.exe).
Disk Space Monitor
Disk Space Monitor: Даже несмотря на терабайтные объемы современных жестких дисков, свободное место на сервере имеет тенденцию быстро и непредсказуемо заканчиваться. NetWrix Disk Space Monitor — БЕСПЛАТНЫЙ инструмент для ИТ-профессионалов, отслеживающий дисковое пространство на серверах (контроллеры домена, файловые серверы, серверы SharePoint и Exchange, серверы баз данных и пр.). Централизованно контролируя свободное дисковое пространство на заданных серверах, решение пересылает ежедневные отчеты и оповещения о недостаточном объеме дискового пространства при достижении указанных пороговых значений. Бесплатная версия поддерживает до 10 серверов
Скачать: netwrix.com/ru/disk_space_monitor_freeware.html
NetWrix Group Policy Change Reporter
NetWrix Group Policy Change Reporter делает предельно простой и ясной задачу аудита изменений групповых политик. Программа ежедневно отправляет отчеты с детальной информацией по каждому изменению в конфигурации групповых политик. В отчете отображаются вновь созданные и удаленные объекты групповой политики (GPO), изменения связей GPO, политик аудита и паролей, развертывания ПО, изменение конфигурации пользовательских рабочих станций и других настроек. Программа фиксирует значения до и после изменения, предоставляя информацию о том, КТО, ЧТО и КОГДА изменил.
Основные функции:
- Аудит всех регулярных задач управления групповыми политиками и отчетность;
- Создание отчетов по соответствию нормативным документам, в т.ч. для аудиторов SOX, GLBA и HIPAA;
- Обзор всех процессов управления групповыми политиками для ИТ-менеджеров;
- Автоматическое резервное копирование и восстановление объектов групповой политики;
- Интеграция с Microsoft System Center Operations Manager.
Решение фиксирует все изменения групповых политик и архивирует их для статистической отчетности. Программа позволяет получить объединенную информацию по изменениям групповой политики за любой период для детального анализа. Так, например, можно узнать, кто добавил для развертывания на клиентских компьютерах новое ПО, кто изменил настройки межсетевого экрана и блокировки для рабочих станций и многое другое.
Скачать: netwrix.com/ru/group_policy_auditing.html
Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом
Как проявляется проблема: пользователь пытается авторизоваться на рабочей станции или сервере под своей учетной запись и после ввода пароля появляется ошибка:
The trust relationship between this workstation and the primary domain failed.
1 |
The trust relationship between this workstation and the primary domain failed. |
Не удалось восстановить доверительные отношения между рабочей станцией и доменом.
1 |
Не удалось восстановить доверительные отношения между рабочей станцией и доменом. |
Также ошибка может выглядеть так:
The security database on the server does not have a computer account for this workstation trust relationship.
1 |
The security database on the server does not have a computer account for this workstation trust relationship. |
База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией.
1 |
База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией. |
Параметры политики паролей по умолчанию
Детально настроенные политики паролей позволяют применять определенные ограничения для политик паролей и блокировки учетных записей для разных пользователей в домене. Например, чтобы защитить привилегированные учетные записи, можно применить более надежные параметры блокировки учетной записи, чем для обычных учетных записей без привилегий. Можно создать несколько детально настроенных политик паролей в управляемом домене и указать порядок приоритета их применения к пользователям.
Дополнительные сведения о политиках паролей и использовании центра администрирования Active Directory см. в следующих статьях:
Детально настроенные политики паролей
Политики распространяются с помощью связи групп в управляемом домене, а все вносимые изменения применяются при следующем входе пользователя в систему. Изменение политики не разблокирует уже заблокированную учетную запись пользователя.
Политики паролей работают по-разному в зависимости от того, как была создана учетная запись пользователя, к которой они применяются. В Azure AD DS учетную запись пользователя можно создать двумя способами:
- Учетную запись пользователя можно синхронизировать из Azure AD. Эта процедура включает облачные учетные записи пользователей, созданные непосредственно в Azure, а также гибридные учетные записи пользователей, синхронизированные из локальной среды AD DS с помощью Azure AD Connect.
- Учетная запись пользователя может быть создана вручную в управляемом домене и не существует в Azure AD.
Ко всем пользователям независимо от способа создания их учетных записей применяются следующие политики блокировки учетной записи, работающие на основе политики паролей Azure AD DS по умолчанию:
- Длительность блокировки учетных записей: 30
- Разрешенное число неудачных попыток входа в систему: 5
- Время, по истечении которого сбрасываются неудачные попытки входа в систему: 2 мин
- Максимальный срок действия пароля (время жизни): 90 дней
С такими настройками учетные записи пользователей блокируются на 30 минут, если в течение 2 минут используются пять недействительных паролей. Учетные записи автоматически разблокируются через 30 минут.
Блокировки учетных записей происходят только в управляемом домене. Учетные записи пользователей блокируются только в Azure AD DS и только из-за неудачных попыток входа в управляемый домен. Учетные записи пользователей, которые были синхронизированы в Azure AD или локальной среде, не блокируются в исходных каталогах, а только в Azure AD DS.
Если ваша политика паролей Azure AD определяет максимальный срок действия пароля свыше 90 дней, этот срок действия применяется к политике по умолчанию в AD DS Azure. С помощью пользовательской политики паролей можно задать другой максимальный срок действия пароля в Azure AD DS
Обратите внимание, что в политике паролей Azure AD DS должен быть задан более короткий срок действия пароля, чем в Azure AD или в локальной среде AD DS. В этом случае срок действия пароля пользователя в Azure AD DS может истечь до запроса на изменение пароля в Azure AD или в локальной среде AD DS. Для учетных записей пользователей, созданных вручную в управляемом домене, также применяются следующие дополнительные параметры политики паролей по умолчанию
Эти параметры не применяются к учетным записям пользователей, синхронизированным в Azure AD, так как пользователь не может обновить свой пароль непосредственно в AD DS Azure
Для учетных записей пользователей, созданных вручную в управляемом домене, также применяются следующие дополнительные параметры политики паролей по умолчанию. Эти параметры не применяются к учетным записям пользователей, синхронизированным в Azure AD, так как пользователь не может обновить свой пароль непосредственно в AD DS Azure.
- Минимальная длина пароля (знаков): 7
- Требование соответствия паролей требованиям к сложности.
Параметры блокировки учетной записи или пароля в политике паролей по умолчанию изменить нельзя. Вместо этого члены группы Администраторы контроллера домена AAD могут создавать пользовательские политики паролей, которые имеют больший приоритет и переопределяют политику по умолчанию, как описано в следующем разделе.
Создание пользователей на основании шаблонов
Обычно в организациях существует множество подразделений или отделов, в которые входят ваши пользователи. В этих подразделениях пользователи обладают схожими свойствами (например, название отдела, должности, номер кабинета и пр.). Для наиболее эффективного управления учетными записями пользователей из одного подразделения, например, используя групповые политики, целесообразно их создавать внутри домена в специальных подразделениях (иначе говоря, контейнерах) на основании шаблонов. Шаблоном учетной записи называется учетная запись, впервые появившаяся еще во времена операционных систем Windows NT, в которой заранее заполнены общие для всех создаваемых пользователей атрибуты. Для того чтобы создать шаблон учетной записи пользователя, выполните следующие действия:
- Откройте оснастку «Active Directory – пользователи и компьютеры» и создайте стандартную учетную запись пользователя. При создании такой учетной записи желательно чтобы в списке пользователей в подразделении имя данной записи выделялось из общего списка, и всегда было расположено на видном месте. Например, чтобы такая учетная запись всегда находилось первой, задайте для создаваемого шаблона имя с нижними подчеркиваниями, например, _Маркетинг_. Также, на странице ввода пароля установите флажок «Отключить учетную запись». Так как эта запись будет использоваться только в качестве шаблона, она должна быть отключена;
- В области сведений оснастки выберите созданную вами учетную запись (значок объекта данной учетной записи будет содержать стрелку, направленную вниз, что означает, что данная учетная запись отключена), нажмите на ней правой кнопкой мыши и из контекстного меню выберите команду «Свойства»;
Рис. 4. Свойства учетной записи пользователя
Для того чтобы некоторые атрибуты продублировались в свойствах учетных записей пользователей, которые в последствии будут создаваться на основании вашего шаблона, нужно заполнить необходимые для вас поля в свойствах шаблона учетной записи. Вкладки, которые чаще всего используются при редактировании свойств учетных записей, предоставлены ниже:
- Общие. Данная вкладка предназначена для заполнения индивидуальных пользовательских атрибутов. К этим атрибутам относятся имя пользователя и его фамилия, краткое описания для учетной записи, контактный телефон пользователя, номер комнаты, его электронный ящик, а также веб-сайт. Ввиду того, что данная информация является индивидуальной для каждого отдельного пользователя, данные заполненные на этой вкладке не копируются;
- Адрес. На текущей вкладке вы можете заполнить почтовый ящик, город, область, почтовый индекс и страну, где проживают пользователи, которые будут созданы на основании данного шаблона. Так как у каждого пользователя названия улиц обычно не совпадают, данные из этого поля не подлежат копированию;
- Учетная запись. В этой вкладке вы можете указать точно время входа пользователя, компьютеры, на которые смогут заходить пользователи, такие параметры учетных записей как хранение паролей, типы шифрования и пр., а также срок действия учетной записи;
- Профиль. Текущая вкладка позволяет вам указать путь к профилю, сценарий входа, локальный путь к домашней папке, а также сетевые диски, на которых будет размещена домашняя папка учетной записи;
- Организация. На этой вкладке вы можете указать должность сотрудников, отдел, в котором они работают, название организации, а также имя руководителя отдела;
- Члены групп. Здесь указывается основная группа и членство в группах.
Это основные вкладки, которые заполняются при создании шаблонов учетной записи. Помимо этих шести вкладок, вы можете еще заполнять информацию в 13 вкладках. Большинство из этих вкладок будут рассмотрены в последующих статьях данного цикла.
На следующем шагу создается учетная запись пользователя, основанная на текущем шаблоне. Для этого нажмите правой кнопкой мыши на шаблоне учетной записи и из контекстного меню выберите команду «Копировать»;
В диалоговом окне «Копировать объект — Пользователь» введите имя, фамилию, а также имя входа пользователя. На следующей странице введите пароль и подтверждение, а также снимите флажок с опции «Отключить учетную запись». Завершите работу мастера;
Рис. 5. Диалоговое окно копирования пользовательской учетной записи
После создания учетной записи перейдите в свойства созданной учетной записи и просмотрите добавляемые вами свойства в шаблон. Отконфигурированные атрибуты будут скопированы в новую учетную запись.
Будущее Active Directory
Поскольку Active Directory является центральным ИТ-инструментом для управления контролем доступа и безопасностью, то независимо от того, идет ли речь о ИТ-безопасности или нет, вы можете повысить свою эффективность, а в большинстве случаев, добиться и того и другого. Внедрение лучших практик Active Directory является неотъемлемой частью любой ИТ-стратегии. Начиная с платформ мониторинга и заканчивая программным обеспечением для удаленного доступа, существуют десятки инструментов, которые помогут вам в этом процессе. Выберите то, что вам нужно для оптимизации рабочего процесса, обеспечения безопасности и, в конечном итоге, улучшения как ИТ-операций, так и взаимодействия с пользователем.
Другие причины блокировок пользовательских учетных записей
Если проблема локаута кроется в сервисах Google Workspaces (Gmail, Gdrive…) то в логах будет отображаться, что феилд логоны идут с компьютера WORKSTATION. Так же подробную информацию о блокировке можно посмотреть в событии 4771. Там можно найти Керберос коды, которые были описаны выше и IP адрес устройства с которого идут фейлд логоны.
Если в полях Caller Computer Name ивента 4770 и Client Address 4771 пусто – это значит что вас скорее всего брутфорсят!
Чтобы определить источник фейлд логонов в этом случае необходимо включить netlogon и смотреть его логи.
NETLOGON Netlogon — это процесс Windows Server, который аутентифицирует пользователей и другие службы в домене. Включите ведение журнала Netlogon: Пуск > Выполнить > введите:
nltest /dbflag:2080ffff > OK
После перезапуска службы Netlogon соответствующая активность может быть записана в %windir%/debug/netlogon.log.
Можно так же разобрать журналы Netlogon с помощью скрипта:
type netlogon.log |find /i «0xC000006A» > failedpw.txt type netlogon.log |find /i «0xC0000234» > lockedusr.txt
Внимание! Не забудьте отключить Netlogon после того, как вы зафиксировали события, так как производительность системы может быть немного снижена из-за процесса дебаггинга. Отключите ведение журнала Netlogon:. Пуск > Выполнить > введите: nltest /dbflag:0 > OK
Пуск > Выполнить > введите: nltest /dbflag:0 > OK
В логах можно найти айпишники тех компьютеров, с которых идут скрытые фейлд логоны, это могут быть терминальные сервера или RDP на которые ведется атака по перебору паролей.
Возвращаемся к журналу событий безопасности. Еще может быть полезным событие с кодом 4776, тут тоже можно найти с какой рабочей станции была попытка ввода учетных данных.
Если айпи вам неизвестен можно посмотреть его mac на на DHCP сервере или же на сетевом оборудовании, далее с помощью специальных сервисов, которые легко можно найти в интернете можно определить, что за производитель у данного mac-адреса. Это полезно, когда феилд логоны идут с какого-то смартфона или планшета.
Еще полезным будет изучение события 4625, там вы можете обнаружить процесс, из-за которого происходит блокировка учетных записей. Используйте Process Hacker или Process Monitor для просмотра учетных данных активных процессов.
Проблемой блокировки может быть планировщик задач Windows — возможно, есть задача, настроенная на запуск с использованием учетной записи, пароль к которой поменялся.
На локальной машине могут быть сохраненные учетные данные, найти которые можно так:
Пуск> Выполнить > rundll32 keymgr.dll, KRShowKeyMgr > OK.
Пуск> Выполнить > введите: netplwiz > OK Перейдите на вкладку Дополнительно, а затем нажмите Управление паролями.
Блокировку может вызывать сессия сервера терминалов с устаревшими учетными данными. Для отключения RDP сессии выполните следующие команды в командной строке (Win+R > «cmd»), заменив «server_ip», «name» и «password» на необходимые учетные данные:
net use \\server_ip /USER:name password
Это позволит вам войти на удаленный сервер без использования RDP.
query session /server:name
Замените «name» на имя сервера. Здесь вы получите идентификатор сессии.
reset session id /server:server_ip
Это завершает активную сессию на удаленном сервере.
Блокировку учетки может вызывать репликация AD, когда обновление пароля не было реплицировано на все контроллеры домена. Для принудительной репликации выполните следующую команду на вашем DC:
Локальный вход в систему или домен после перезагрузки компьютера под управлением операционной системы Windows, если никто не вошел в систему, может быть невозможен.
Компьютер используется и заблокирован.Только или администратор может снять блокировку компьютера.Для снятия блокировки нажмите Ctrl-Alt-Del.
Компьютер заблокирован. Снять блокировку может только или администратор.
Компьютер используется и заблокирован.Снять блокировку может только домен\имя_пользователя или администратор.Для снятия блокировки нажмите Ctrl-Alt-Del.
Компьютер заблокирован. Снять блокировку может только домен\имя_пользователя или администратор.
Причины блокировки учетной записи Windows
А случилось вот что. Сам пользователь или кто-то до него по ошибке ввели несколько раз неправильный пароль, в результате чего учетная запись была заблокирована.
Хорошо, но почему подобное не происходит на других компьютерах, скажем, домашних. Всё очень просто. Скорее всего, обслуживающий компьютеры предприятия системный администратор установил ограничение на количество неудачных попыток авторизации в учетной записи. Направлена эта дополнительная мера безопасности на защиту от подбора пароля.
ПРИМЕЧАНИЕ : данный метод защиты работает только для локальных учетных записей без использования пин-кода.
Задается настройка в редакторе локальных групповых политик. Там, в разделе параметров безопасности есть политика блокировки учетных записей, для которой доступны три опции:
- пороговое значение блокировки;
- время до сброса счетчика;
- продолжительность блокировки.
По умолчанию время блокировки для включенной настройки составляет 30 минут, но что мешает администратору его увеличить?
Получается, чтобы ввести пароль повторно, вам придется ждать, пока не истечет установленный срок, кстати, время система не сообщает, либо дожидаться прихода администратора.
NetWrix Inactive Users Tracker
Inactive Users Tracker автоматизирует управление неактивными учетными записями пользователей. Периодически проверяя все учетные записи в указанных доменах, программа сообщает обо всех учетных записях, бездействующих в течение определенного количества дней.
Основные функции:
- Проверка всех пользователей и предоставление отчетов о неактивных в течение заданного количества дней учетных записях.
- Автоматическое отключение неактивных учетных записей пользователей путем блокировки, установки случайного пароля, перемещения в другое подразделение или полного удаления таких учетных записей.
- Отправка уведомлений менеджерам о неактивных учетных записях подчиненных.
- Возможность отправки отчетов ИТ-аудиторам в соответствии с нормативными документами (SOX, HIPAA, SAS-70 и пр.).
Чтобы определить отсутствие активности, для каждой пользовательской учетной записи инструмент проверяет атрибуты «lastLogon» и «lastLogonTimestamp», отображающие последнюю аутентификацию пользователя определенным контроллером домена. AD не копирует эти атрибуты, поэтому для каждого контроллера домена значения будут разными. Inactive Users Tracker корректно решает эту проблему, отправляя запросы всем контроллерам в домене и ориентируясь на самое позднее время входа в систему («true last logon»).
Ссылка на продукт: netwrix.com/inactive_users_tracking.html