Вопрос или проблема
Я довольно нов в анализе журналов Windows. Я наблюдаю чрезмерное количество входов с кодами 4624 и 4625 с именем субъекта/учетной записи: DomainController (фактическое имя контроллера домена отличается) к учетным записям пользователей.
Я понимаю, что логично иметь запросы на вход от машин пользователей к контроллеру домена. Но почему возникают чрезмерные запросы на вход от контроллеров домена к учетным записям пользователей, причем с неправильно написанными именами пользователей и паролями в качестве причины неудачи, а имя процесса – lsass.exe?
Существует множество причин для этого. Например, кто-то мог неправильно ввести свое имя пользователя в настройках Wi-Fi на своем мобильном телефоне, из-за чего телефон пытается аутентифицироваться снова и снова ошибочно. Существует слишком много других возможностей, не зная всех динамик вашего окружения.
Ответ или решение
Избыточные запросы на вход с кодами событий 4624 и 4625 от контроллеров домена к пользовательским учетным записям могут указывать на несколько потенциальных проблем, которые стоит исследовать внимательно.
-
Неправильные конфигурации клиентских устройств: Одной из наиболее распространенных причин избыточных логонов может быть неправильно настроенное клиентское устройство, например, телефон или ноутбук, где пользователь ошибся в написании имени пользователя или пароля. Такие устройства могут многократно пытаться аутентифицироваться, вызывая избыточный трафик на контроллер домена.
-
Службы и приложения: Иногда автоматизированные службы или приложения, которые настроены на доступ к ресурсам домена, могут содержать ошибки в конфигурации, что приводит к множественным неудачным попыткам входа с неправильно заданными учетными данными. Это может включать устаревшие пароли или неверные настройки аутентификации.
-
Посреднические атаки: В редких случаях существует вероятность атаки на сеть. Злоумышленники могут пытаться выяснить учетные данные, отправляя множество запросов с ошибочными данными. В таком случае рекомендуется изучить наличие несанкционированного доступа или попыток взлома.
-
Логи безопасности и аудит: Необходимо обратить внимание на журналы безопасности. Вам следует идентифицировать, какие конкретно устройства, пользователи или сервисы инициируют эти запросы. Это можно сделать с помощью проверки IP-адресов и логов входа в систему.
-
Параметры групповой политики и аутентификация: Убедитесь, что настройки групповой политики правильно сконфигурированы и что функции аутентификации соответствуют стандартам безопасности вашей организации.
-
Обновление и патчи: Убедитесь, что операционная система и все приложения, использующие аутентификацию, обновлены. Устаревшее программное обеспечение может содержать уязвимости, которые могут быть использованы для аутентификации.
Рекомендуемые действия:
- Проведите аудит всех устройств, подключенных к домену, и проверьте их конфигурации.
- Используйте средства мониторинга сети для определения источника избыточных логонов.
- Проведите обучение пользователей правильному вводу учетных данных.
- Имейте под контролем доступ к критическим ресурсам, чтобы снизить риски потенциальных атак.
Таким образом, вам необходимо комплексно подойти к анализу ситуации, чтобы определить источник проблемы и предпринять необходимые действия.