Lockشدن حساب Active Directory ممكن است برای سازمانها بسيار مشكلساز باشد، نمونههای ثبتشدهای از مهاجمان وجود دارند که از Lock شدن حساب به منظور Attackers Leveraging استفاده میكنند. مهاجمان به طور بالقوه میتوانند با وارد كردن رمزعبورهای مخرب متعدد مانع ورود همه كاربران به حساب كاربریشان شوند.
اقدامات لازم زمان Lockشدن حساب
سیستمعامل ویندوز توانايی نسبتا محدودی در عیبیابی Lockشدن حساب دارد، اما در اين خصوص میتوان كارهای ديگری انجام داد. به عنوان مثال، میتوان از Windows PowerShell برای تعیین حسابهای Lockشده استفاده كرد، دستور انجام اين كار به صورت زير است:
Search-ADAccount -LockedOut -UsersOnly | Select-Object Name, SamAccountName
در ضمن پارامتر UsersOnly موجب میشود Objectهای كامپيوتر در نتايج نشان داده نشوند؛ درعين حال دستور Select-Object فهرست نتايج را فيلتر میكند تا تنها نام كاربران و نام حساب آنها نمايش داده شود. اگر كاربر ببيند كه حسابها Lock شدهاند، چندين راه برای باز كردن آنها نيز پيشروی خواهد داشت و هر بار میتواند از دستور زير برای باز كردن حساب Lockشده استفاده كند:
Unlock-ADAccount -Identity <username>
از سوی ديگر اگر كاربر نياز داشته باشد تعداد زيادی حساب كاربری را باز كند، میتواند اين كار را با دستور زير انجام دهد:
Search-ADAccount –LockedOut | Unlock-ADAccount
با اینکه توانايی باز کردن حساب کاربری اهمیت غیرقابل انکاری دارد، به همان اندازه مهم است که كاربر بداند چرا حسابها در وهله اول Lock شدهاند. میتوان با ايجاد تغيير در دستور Search-ADAccount كه پيش از اين ذكر شد، اندك اطلاعات نسبت به اين مشكل به دست آورد:
Search-ADAccount -LockedOut | Select-Object
این دستور اطلاعات ديگر در مورد تمام حسابهای Lockشده را نمایش خواهد داد، میتوان از این اطلاعات برای بررسی آخرين ورود كاربر و اينكه گذرواژه كاربر منقضی شده يا خير استفاده كرد. از آنجا که این دستور میتواند دادههای زیادی را برگرداند، نوشتن نتايج در يك فايل CVS احتمالا مفيد خواهد بود. مثالی در این مورد به صورت زیر میباشد:
Search-ADAccount -LockedOut | Select-Object * | Export-CSV -Path c:\temp\lockout.csv
امكان عيبيابی بيشتر Lockشدن حساب Active Directory با استفاده از ابزارهای Native ويندوز وجود دارد، اما برای انجام اين كار میبايست قبل از Lockشدن حساب، تغييراتی در تنظيمات Group Policy ايجاد كرد. نكته ای که باید توجه کرد اینست که Lockهای حساب به طور پیشفرض Log نشدهاند.
كاربر میتواند با باز کردن Group Policy Editor و جهتيابی از طریق console tree به Computer Configuration | Windows Settings | Security Settings | Advanced Audit Policy Configuration | System Audit Policies | Account Management امكان Logشدن را فراهم كند. هرگاه تنظيمات جديد Group Policy در سراسر دامين اعمال گردد، به هنگام Lockشدن Event Number شماره 4740 در Event Log Security نمايش داده میشود.
Get-WinEvent -FilterHashtable @{logname=”Security”; ID=4740}
به احتمال زياد اين دستور نتايج فراوانی به همراه خواهد داشت. میتوان برای محدود كردن تعداد نتيجه نمايش داده شده از Select-Object cmdlet استفاده كرد. برای مثال، برای مشاهده صرفا ده نتيجه اخير میتوان از دستور زير استفاده كرد:
Get-WinEvent -FilterHashtable @{logname=”Security”; ID=4740} | Select-Object UserID, Message -Last 10
بايد توجه داشت كه ارجاعاتی به UserID و Message به Select-Object cmdlet اضافه شده است، UserID باعث نمايش داده شدن نام كاربری و ارجاع به Message، باعث نمايش اطلاعات دقيق توسط PowerShell میگردد. احتمالا مفيدترين آيتم نمايش داده شده در پيام، Caller Computer Name است كه نام ماشينی را كه سبب قفل شدن حساب شده، نمايش میدهد. در صورت لزوم، همچنين میتوان از ويژگی TimeCreated برای بررسی زمان رخداد Lockشدن استفاده کرد.
دستوری که در بالا نشان داده شده است گاهی اوقات ممكن است Message را قطع كند. در صورت وقوع چنين مسئلهای، میتوان با افزودن دستور Format-List نشان داده شده در زير، مشكل را حل نمود:
Get-WinEvent -FilterHashtable @{logname=”Security”; ID=4740} | Select-Object UserID, Message -Last 10 | Format-List
همانطور که ديده میشود، ويندوز برای كمك به كاربر در عيبيابی مشكلات Lockشدگی حساب، توانايی محدودی دارد. اگر كاربر پيوسته درگير مشكلات Lockشدگی و نيازمند قابليتهای عيب يابی بيشتر باشد يا مانند بيشتر سازمانها در اين همهگيری جهانی، با افزايش ميزان Lockشدگی حساب در تماسها صوتی و تصويری مواجه باشد، در آن صورت میتواند برخي ابزارهايی شخص ثالث در دسترس نظير راهكار Self-service بازيابی مجدد گذرواژه را امتحان كند. شناسایی عامل Lockشدگی و حل اين مشكل، بخشی از معادله است. دپارتمانهای IT برای پرداختن همه جانبه به اين مشكل بايد اين امكان را برای كاربران فراهم كنند كه Lock شدن حسابهای خود را در هر زمان و هر مكان به صورت ايمن باز كنند.
بیشتر بخوانید: نفوذ بدافزار مبتنی بر هوش مصنوعیِ DeepLocker در برنامههای کاربردی