Tenemos un dominio con aproximadamente 15 servidores y aproximadamente 30 estaciones de trabajo. Los servidores son principalmente 2008r2 y las estaciones de trabajo son principalmente Windows 7. Los dos DC son 2012r2. Cada pocas semanas, una de nuestras cuentas de administrador se bloquea. Estoy tratando de reducir la causa y he llegado a un callejón sin salida.
Esto es lo que tengo.
El registro de eventos en el PDC muestra el evento 4776 - éxito de la auditoría:
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: username
Source Workstation:
Error Code: 0x0
Todo por el mismo nombre de usuario y recurrente varias veces por segundo.
Según los identificadores de eventos, estos son inicios de sesión NTLM en lugar de Kerberos. Aunque el tipo de autenticación utilizado es menos preocupante para mí que la cantidad de corte. Esto sucede varias veces por segundo y se repite cada par de segundos hasta el infinito, todas las horas, día, noche o fin de semana.
El registro de eventos también muestra el evento de éxito de auditoría ID 4624 (inicio de sesión) y 4634 (cierre de sesión) para este nombre de usuario, pero como en el evento anterior, el campo "estación de trabajo" está vacío.
Permití el registro detallado de netlogon y el netlogon.log muestra
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Entered
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation1) Returns 0x0
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server1) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via server2) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation3) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Entered
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via workstation4) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from (via workstation5) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server3) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from (via server4) Returns 0x0
Y así sucesivamente y así sucesivamente. La fuente aparente de estos inicios de sesión (a través de XYZ) puede incluir estaciones de trabajo y servidores de toda la red.
Claramente esto parece una automatización o script. Como los inicios de sesión son generalmente exitosos, no creo que sea un intento de intrusión. Sin embargo, algunos de los inicios de sesión fallan de vez en cuando, pero no he identificado ningún patrón para la falla y ocurren con tan poca frecuencia que (la mayoría de los días) no bloquean la cuenta. El código de falla cuando hay uno suele ser 0xc0000022 (acceso denegado)
Deshabilité y desinstalé nuestro agente de monitoreo remoto (actualmente Kaseya, pero finalmente nos mudamos a LabTech) desde uno de los servidores, pero aún vi nuevos eventos que se originan en ese servidor, por lo que esto descarta las tareas de automatización. También revisé el programador de tareas en un par de servidores y no encontré nada fuera de lo común. He verificado los servicios para verificar las cuentas de inicio de sesión y esta cuenta no se utiliza en ningún servicio.
Ejecuté Netstat durante un buen tiempo y vi principalmente conexiones al PDC desde "Sistema" y "Proceso inactivo del sistema". Vi conexiones ocasionales desde spoolsrv y lsass e ismserv (el servidor en el que estoy probando es un servidor Citrix XenApp, pero otros servidores "fuente" no están en la granja XenApp, y por supuesto las estaciones de trabajo "fuente" tampoco lo están). Detuve el servicio de cola de impresión solo para probar y no tuvo ningún impacto en los eventos de inicio de sesión.
Trabajo en un MSP y esta es nuestra cuenta de administrador dom técnico principal, por lo que es de alta prioridad que funcione y sea seguro. La última idea que me queda es cambiar la contraseña y ver qué se rompe, pero sin saber para qué se usa la cuenta, esto podría tener consecuencias potencialmente catastróficas. Sin embargo, mi sospecha es que esto podría ser un AD mal configurado.
¿Alguien ha experimentado algo como esto antes y ha podido identificar la fuente?