اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

رفع مشکل اکانت های Lockشده در Active Directory

روش Active-Directory lock

Lock­شدن حساب Active Directory ممكن است برای سازمان‌ها بسيار مشكل‌ساز باشد، نمونه‌های ثبت‌شده‌ای از مهاجمان وجود دارند که از Lock شدن حساب به منظور Attackers Leveraging استفاده می‌كنند. مهاجمان به طور بالقوه می‌توانند با وارد كردن رمزعبورهای مخرب متعدد مانع ورود همه كاربران به حساب كاربری‌شان شوند. ​

اقدامات لازم زمان Lock­شدن حساب

​​​​​​سیستم‌عامل ویندوز توانايی نسبتا محدودی در عیب‌یابی Lockشدن حساب دارد، اما در اين خصوص می‌توان كارهای ديگری انجام داد. به عنوان مثال، می‌توان از Windows PowerShell برای تعیین حساب‌های Lock‌شده استفاده كرد، دستور انجام اين كار به صورت زير است:

Search-ADAccount -LockedOut -UsersOnly | Select-Object Name, SamAccountName

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


​​​​​​​​در ضمن پارامتر UsersOnly موجب می‌شود Objectهای كامپيوتر در نتايج نشان داده نشوند؛ درعين حال دستور Select-Object فهرست نتايج را فيلتر می‌كند تا تنها نام كاربران و نام حساب آن‌ها نمايش داده شود. ​اگر كاربر ببيند كه حساب‌ها Lock شده‌اند، چندين راه برای باز كردن آن‌ها نيز پيش‌روی خواهد داشت و هر بار می‌تواند از دستور زير برای باز كردن حساب Lockشده استفاده كند:

Unlock-ADAccount -Identity <username>

​​​​​​​​از سوی ديگر اگر كاربر نياز داشته باشد تعداد زيادی حساب كاربری را باز كند، می‌تواند اين كار را با دستور زير انجام دهد:

Search-ADAccount –LockedOut | Unlock-ADAccount

​​​​​​​​با اینکه توانايی باز کردن حساب کاربری اهمیت غیرقابل انکاری دارد، به همان اندازه مهم است که كاربر بداند چرا حساب‌ها در وهله اول Lock شده‌اند. می‌توان با ايجاد تغيير در دستور Search-ADAccount كه پيش از اين ذكر شد، اندك اطلاعات نسبت به اين مشكل به دست آورد:

Search-ADAccount -LockedOut | Select-Object

​​​​​​​​این دستور اطلاعات ديگر در مورد تمام حساب‌های Lock‌شده را نمایش خواهد داد، می‌توان از این اطلاعات برای بررسی آخرين ورود كاربر و اينكه گذرواژه كاربر منقضی شده يا خير استفاده كرد. از آنجا که این دستور می‌تواند داده‌های زیادی را برگرداند، نوشتن نتايج در يك فايل CVS احتمالا مفيد خواهد بود. مثالی در این مورد به­ صورت زیر می­باشد:

Search-ADAccount -LockedOut | Select-Object * | Export-CSV -Path c:\temp\lockout.csv

​امكان عيب‌يابی بيشتر Lockشدن حساب Active Directory با استفاده از ابزارهای Native ويندوز وجود دارد، اما برای انجام اين كار می‌بايست قبل از Lockشدن حساب، تغييراتی در تنظيمات Group Policy ايجاد كرد. نكته­ ای که باید توجه کرد اینست که Lockهای حساب به طور پیش‌فرض Log نشده‌اند. ​

كاربر می‌تواند با باز کردن Group Policy Editor و جهت‌يابی از طریق console tree به Computer Configuration | Windows Settings | Security Settings | Advanced Audit Policy Configuration | System Audit Policies | Account Management امكان Logشدن را فراهم كند. هرگاه تنظيمات جديد Group Policy در سراسر دامين اعمال گردد، به هنگام Lockشدن Event Number  شماره 4740 در Event Log Security نمايش داده می‌شود. ​ ​

Get-WinEvent -FilterHashtable @{logname=”Security”; ID=4740}

​به احتمال زياد اين دستور نتايج فراوانی به همراه خواهد داشت. می‌توان برای محدود كردن تعداد نتيجه نمايش‌ داده شده از Select-Object cmdlet استفاده كرد. برای مثال، برای مشاهده صرفا ده نتيجه اخير می‌توان از دستور زير استفاده كرد:

Get-WinEvent -FilterHashtable @{logname=”Security”; ID=4740} | Select-Object UserID, Message -Last 10

 بايد توجه داشت كه ارجاعاتی به UserID و Message به Select-Object cmdlet اضافه شده است، UserID باعث نمايش داده شدن نام كاربری و ارجاع به Message، باعث نمايش اطلاعات دقيق توسط PowerShell می‌گردد. احتمالا مفيدترين آيتم نمايش داده شده در پيام، Caller Computer Name است كه نام ماشينی را كه سبب قفل شدن حساب شده، نمايش می‌دهد. در صورت لزوم، همچنين می‌توان از ويژگی TimeCreated برای بررسی زمان رخداد Lockشدن استفاده کرد. ​

دستوری که در بالا نشان ‌داده شده‌ است گاهی اوقات ممكن است Message را قطع كند. در صورت وقوع چنين مسئله‌ای، می‌توان با افزودن دستور Format-List نشان داده شده در زير، مشكل را حل نمود:

Get-WinEvent -FilterHashtable @{logname=”Security”; ID=4740} | Select-Object UserID, Message -Last 10 | Format-List

 همانطور که ديده می‌شود، ويندوز برای كمك به كاربر در عيب‌يابی مشكلات Lock‌شدگی حساب، توانايی محدودی دارد. اگر كاربر پيوسته درگير مشكلات Lock‌شدگی و نيازمند قابليت‌های عيب يابی بيشتر باشد يا مانند بيشتر سازمان‌ها در اين همه‌گيری جهانی، با افزايش ميزان Lock‌شدگی حساب در تماس‌ها صوتی و تصويری مواجه باشد، در آن صورت می‌تواند برخي ابزارهايی شخص ثالث در دسترس نظير راهكار Self-service بازيابی مجدد گذرواژه را امتحان كند. ​شناسایی عامل Lock‌شدگی و حل اين مشكل، بخشی از معادله است. دپارتمان‌های IT برای پرداختن همه جانبه به اين مشكل بايد اين امكان را برای كاربران فراهم كنند كه Lock شدن حساب‌های خود را در هر زمان و هر مكان به صورت ايمن باز كنند. ​

بیشتر بخوانید: نفوذ بدافزار مبتنی بر هوش مصنوعیِ DeepLocker در برنامه‌های کاربردی

پکیج آموزشی VMware NSX شرکت APK