一、通過檢查事件日志中以下的事件來找到鎖定原因：

• 用戶帳戶已被鎖定。

• 用戶帳戶已被解鎖。

• 由于未知的用戶名或錯誤密碼導緻賬戶登錄失敗。

• 密碼策略檢查 API 被調用。

• 域控制器試圖驗證帳戶的憑據。

• Kerberos 預身份驗證失敗。

• 域策略已更改:帳戶鎖定和密碼策略的更改。

密碼錯誤

二、單純利用windows系統自帶的工具去分析上述事件是充滿挑戰性的，原因如下：

①事件繁雜

在用戶沒有意識到他們的帳戶因遭受黑客攻擊而被鎖定時，黑客會通過暴力破解的方式進入用戶的網絡。由于事件的繁雜外加用戶可能會登錄到多台計算機、服務或者通過遠程連接，使得IT管理員或服務台技術員很難在短時間内找出帳戶鎖定原因。

②缺乏足夠的儲存空間

Windows事件查看器的存儲限制是4GB，因此分析和調查所需的日志可能早已不存在，也有可能會在調查過程中被覆蓋，這會使得IT管理員或服務台技術員無法确定鎖定的原因。他們通常所能做的隻是為用戶重置密碼，檢查每個組件，直到他們找到對應的組件。由于沒有足夠的登錄事件來進行分析, IT管理員或者服務台技術員很難有效地找到賬戶真正被鎖定的原因。

簡單地說，Windows自帶的工具不具備快速有效解決帳戶鎖定的能力。

三、是什麼簡化了賬戶鎖定分析？

卓豪的ADAudit Plus産品提供專門的帳戶鎖定分析方案。通過持續監控和實時日志收集，為IT管理員或服務台技術員提供清晰可見的報表，提供分析帳戶鎖定所需的所有必要數據。

①這些必要的數據包括：

每個鎖定實例的人員、時間、地點和原因的報表。這些報表是實時收集的 ， 可以導出為 CSV、PDF、XML 和 HTML 格式。隻需點擊一下鼠标，就可以調出在指定時間範圍内發生的每次鎖定事件的完整細節。

賬戶鎖定分析

使用用戶憑據的所有服務和窗口組件的詳細信息。這樣，任何發生過的賬号鎖定原因都可以在幾秒鐘内被發現。

鎖定原因

用戶最近的登錄曆史記錄，這對于破譯帳戶鎖定的原因非常有用。通過分析用戶的登錄曆史，IT管理員和服務台技術員可以了解可疑登錄情況下存在的潛在威脅。

登錄曆史記錄

當特權用戶被鎖定或鎖定數量過高時，ADAudit Plus會發出即時警報。這些警報也可以直接以電子郵件或短信方式發送到IT管理員或服務台技術員。

②為幫助管理員和技術人員更好地了解其域中的帳戶鎖定狀态，ADAudit Plus 提供了大量預置報表，這些報表包括：

• 最近被鎖定的用戶

• 頻繁鎖定的用戶

• 最近解鎖的用戶

• 頻繁解鎖的用戶

所有這些報表都列出了被鎖定的用戶帳戶以及關鍵的詳細信息，如被鎖定的時間和相關域控制器。這些報表幫助IT管理員跟蹤并密切關注經常被鎖定的用戶帳戶。如果IT管理員或服務台技術員需要找出哪個用戶帳戶可能存在攻擊行為，他們可以通過檢查最近被鎖定的用戶來判斷。ADAudit Plus 的用戶行為分析通過使用動态阈值來發現用戶登錄活動的可疑數量以及持續時間。

ADAudit Plus

卓豪的ADAudit Plus 是一款IT 安全及合規的解決方案。它提供了有關對 Active Directory、Azure AD 和 Windows 服務器的200 多個特定事件的報告和實時電子郵件告警。此外，它還提供全面的智能訪問工作站和文件服務器，如NetApp 和EMC等。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!