एक्टिव डिक्टेक्ट्री में यूजर लॉक सोर्स खोजना

सक्रिय निर्देशिका डोमेन व्यवस्थापक के काम में, उपयोगकर्ता को अवरुद्ध करने का कारण खोजने के लिए अक्सर आवश्यक होता है। कभी-कभी उपयोगकर्ता अवरुद्ध होने का कारण वायरस से संक्रमित एक पीसी है - ऐसे मामलों में, समस्या के स्रोत का पता लगाने की गति विशेष रूप से महत्वपूर्ण है। Windows 2008 R2 पर PowerShell 2 में उत्कृष्ट Get-WinEvent cmdlet है जो आपको 1-2 मिनट में एक बहुत बड़े डोमेन में भी इस समस्या को हल करने की अनुमति देता है।
नोट: निम्न में से केवल PowerShell> = 2.0 पर लागू होता है

आवश्यक प्रारंभिक शर्तें।

हां, चमत्कार नहीं होते हैं, और उपयोगकर्ताओं को अवरुद्ध करने का कारण खोजने के लिए, डोमेन नियंत्रकों पर सुरक्षा ऑडिट के कुछ कॉन्फ़िगरेशन की आवश्यकता होगी। डोमेन नियंत्रक पर निम्न ऑडिट उपश्रेणियाँ शामिल की जानी चाहिए:

ऑडिट श्रेणी	ऑडिट उपश्रेणी	ऑडिट का प्रकार	हमारे लिए ब्याज की घटना
लेखा परीक्षा खाता लॉगऑन ईवेंट	केर्बरोस ऑथेंटिकेशन सर्विस	असफलता	4771 Kerberos पूर्व-प्रमाणीकरण विफल।
ऑडिट लोगन इवेंट्स (इन / आउट)	लोगन (लोगन ऑडिट)	असफलता	4625 एक खाता लॉग ऑन करने में विफल।
ऑडिट लोगन इवेंट्स (इन / आउट)	खाता लॉकआउट	सफलता	4740 खाता बंद

लॉक सोर्स सर्च एलगोरिदम

1. निर्धारित करें कि कौन सा नियंत्रक पीडीसी एमुलेटर की भूमिका का मालिक है
2. टारगेटउपयोगकर्ता नाम फ़ील्ड में PDC एम्यूलेटर के सुरक्षा क्षेत्र में कोड 4740 के साथ ईवेंट ढूंढें, जिसमें उस उपयोगकर्ता का नाम है जिसमें हम रुचि रखते हैं
3. एक ही घटना के "TargetDomainName" फ़ील्ड में, उस डोमेन नियंत्रक का नाम ढूंढें, जिसने प्राधिकरण को सेवा दी थी
4. कोड 4625 (असफल NTLM प्राधिकरण) या 4771 (असफल kerberos प्राधिकरण) कोड के साथ ईवेंट खोजें उस सुरक्षा लॉग में जो प्राधिकरण को सेवा देता है
5. मिली घटना से "IpAddress" फ़ील्ड के मान प्राप्त करें - उस पीसी का पता जिसमें से प्राधिकरण का प्रयास किया गया था

ये कार्रवाइयाँ जल्दी से उन पीसी के लिए खोज करने के लिए पर्याप्त होंगी, जो उपयोगकर्ता पासवर्ड का चयन करते हैं। एक नियम के रूप में, यह समस्या के स्रोत का पता लगाने और इसे आगे की जांच के लिए अलग करने के लिए पर्याप्त तेज़ है। प्रक्रिया के लिए खोज एल्गोरिथ्म जो सीधे उपयोगकर्ता को लॉक करने का कारण बनता है, गंतव्य पीसी पर स्थापित सॉफ़्टवेयर पर अत्यधिक निर्भर है।

PowerShell Cmdlets का उपयोग किया

• Get-ADDomainController - एक पीडीसी एमुलेटर की भूमिका मालिक निर्धारित करने के लिए
• Get-WinEvent - एक "जादू" cmdlet, धन्यवाद जिसके कारण एक त्वरित खोज संभव हो गई

Get-WinEvent का जादू क्या है?
सबसे पहले, यह अंत से घटनाओं की खोज करता है और इसमें -MaxEvents पैरामीटर है, जो आपको केवल सबसे हाल की घटना या कुछ सबसे हाल की घटनाओं को खोजने की अनुमति देता है।
दूसरे, इसका एक उत्कृष्ट पैरामीटर है -FilterHashtable, जो आपको बहुत लचीले ढंग से घटनाओं की खोज करने के लिए शर्तों को सेट करने की अनुमति देता है।

स्क्रिप्ट सर्च करें

अपने लिए, मैंने एक छोटी सी PowerShell स्क्रिप्ट तैयार की।
इनपुट पर, स्क्रिप्ट या तो उपयोगकर्ता नाम स्वीकार करती है जिसके लिए लॉक के स्रोत को खोजना आवश्यक है, या अंतिम अवरुद्ध उपयोगकर्ताओं की संख्या (डिफ़ॉल्ट रूप से - 1)।

param ( $User, $Count = 1 ) $result = New-Object system.Data.DataTable "Locks" $col1 = New-Object system.Data.DataColumn Username,([string]) $col2 = New-Object system.Data.DataColumn DCFrom,([string]) $col3 = New-Object system.Data.DataColumn LockTime,([string]) $col4 = New-Object system.Data.DataColumn eventID,([string]) $col5 = New-Object system.Data.DataColumn SourceHost,([string]) $col6 = New-Object system.Data.DataColumn LogonType,([string]) $col7 = New-Object system.Data.DataColumn LogonProcessName,([string]) $col8 = New-Object system.Data.DataColumn FalureTime,([string]) $result.columns.add($col1) $result.columns.add($col2) $result.columns.add($col3) $result.columns.add($col4) $result.columns.add($col5) $result.columns.add($col6) $result.columns.add($col7) $result.columns.add($col8) $PDC = [string](Get-ADDomainController -Discover -Service PrimaryDC).Hostname $FilterHash = @{} $FilterHash.LogName = "Security" $FilterHash.ID = "4740" if ($User) { $FilterHash.data =$User $Count = 1 } $FilterHash2 = @{} $FilterHash2.LogName = "Security" $FilterHash2.ID = @("4625", "4771") Get-WinEvent -Computername $PDC -FilterHashtable $FilterHash -MaxEvents $Count | foreach { $Row = $result.NewRow() $Username = ([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq “TargetUserName”} | %{$_."#text"} $DCFrom = ([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq “TargetDomainName”} | %{$_."#text"} $LockTime = $_.TimeCreated $FilterHash2.data = $username Get-WinEvent -Computername $dcfrom -FilterHashtable $FilterHash2 -MaxEvents 3 | foreach { $Row = $result.NewRow() $Row.Username = $Username $Row.DCFrom = $DCFrom $Row.LockTime = $LockTime $Row.eventID = $_.ID $Row.SourceHost = ([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq “IpAddress”} | %{$_."#text"} $Row.LogonType = ([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq “LogonType”} | %{$_."#text"} switch ($Row.LogonType) { "2" {$Row.LogonType = "Interactive"} "3" {$Row.LogonType = "Network"} "4" {$Row.LogonType = "Batch"} "5" {$Row.LogonType = "Service"} "7" {$Row.LogonType = "Unlock"} "8" {$Row.LogonType = "NetworkCleartext"} "9" {$Row.LogonType = "NewCredentials"} "10" {$Row.LogonType = "RemoteInteractive"} "11" {$Row.LogonType = "CachedInteractive"} } $Row.LogonProcessName = ([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq “LogonProcessName”} | %{$_."#text"} $Row.FalureTime = $_.TimeCreated $result.Rows.Add($Row) } } $result | Format-Table -AutoSize 

उपयोग उदाहरण:

 PS> Find-Locker.ps1 -User iiinanov PS> Find-Locker.ps1 -Count 10 

इसके बजाय पी.एस.

हां, उत्कृष्ट LockoutStatus.exe उपयोगिता के साथ खाता लॉकआउट और प्रबंधन उपकरण है , लेकिन यह लंबे समय से सभी डोमेन नियंत्रकों को मतदान कर रहा है (और उनमें से कुछ उपलब्ध नहीं हो सकते हैं)।
प्रस्तावित स्क्रिप्ट किसी भी तरह से LockoutStatus.exe को बदलने का नाटक नहीं करती है (उनके पास ऑपरेशन का एक पूरी तरह से अलग सिद्धांत है)। मैं आमतौर पर उनका एक साथ उपयोग करता हूं।

तैयार स्क्रिप्ट Google ड्राइव: Find-Locker.ps1 से डाउनलोड की जा सकती है