yellowcake
Goto Top

AD User wird immer wieder gesperrt

Hey

ich habe einen User (ein GL User - Natürlich was denn sonst) der immer wieder gesperrt wird. Ich kann ausschließen das er das Kennwort 5 mal falsch eingibt. Generell wird das Konto immer dann gesperrt wenn nicht in der Firma gearbeitet wird. Heißt also an Feiertagen oder am Wochenende.

ich habe jetzt auch auf dem AD das Log von der Ereignisanzeige hochgeschraubt, so das ich alles mitbekomme.
Hier finde ich den unglaublichen Eintrag unter 4740:

Weitere Informationen:
Aufrufcomputername: WORKSTATION

Workstation ist mir kein bekannter Rechner Name.
Auf dem DHCP ist auch kein Eintrag mit diesem Namen. Auch nicht auf der Firewall...

Der User Arbeitet mit einem Windows-Rechner (Sehr selten und dann auch nur hier bei unseren Öffnungszeiten) und mit einem IPhone und IPad. Das IPhone und IPad haben nur Exchange Zugang und hier sind die anmelde Daten richtig gespeichert.

wie bekomme ich raus wieso der User immer wieder gesperrt wird?

Content-ID: 389521

Url: https://administrator.de/contentid/389521

Ausgedruckt am: 05.11.2024 um 16:11 Uhr

127132
127132 15.10.2018 um 10:13:07 Uhr
Goto Top
Ich hatte mal sowas ähnliches.
Ursache war eine Verknüpfung auf einen freigegebenen Ordner mit falsch abgespeicherten Login-Daten.
Da reichte dann (unter Windows 7) ein einfacher Klick auf die Verknüpfung auf dem Desktop.
Yellowcake
Yellowcake 15.10.2018 um 10:21:15 Uhr
Goto Top
das kann ich ja schon ausschließen, da der Windowsrechner nicht eingeschaltet ist und der User nicht an den Tagen gearbeitet hat.
erikro
erikro 15.10.2018 um 10:29:04 Uhr
Goto Top
Moin,

da würde ich mal gucken, wer denn außerhalb der normalen Arbeitszeiten an die Rechner geht. Raumpflegedienst z. B.

Liebe Grüße

Erik
chgorges
chgorges 15.10.2018 aktualisiert um 10:34:24 Uhr
Goto Top
Zitat von @erikro:
da würde ich mal gucken, wer denn außerhalb der normalen Arbeitszeiten an die Rechner geht. Raumpflegedienst z. B.

A dies und B: Wurde zuletzt das Passwort geändert? Habe es schon oft genug erlebt, dass User-Accounts zum Authentifizieren von irgendwelchen Systemdiensten benutzt werden, die von einer PW-Änderung natürlich nichts mitbekommen und der AD-Account dann kontinuierlich an die Wand fährt.
Yellowcake
Yellowcake 15.10.2018 um 10:39:13 Uhr
Goto Top
kommt keiner ran, wenn es ja über den Rechner versucht werden würde, würde ja im Log nicht Workstation stehen sondern der Rechnername
127132
127132 15.10.2018 um 10:45:39 Uhr
Goto Top
Dann solltest du evtl. nachsehen, wer von außen in dein Netzwerk kommt.
135624
135624 15.10.2018 um 10:52:29 Uhr
Goto Top
Hi,

da du schreibst, dass es ein GL-User ist gehe ich mal davon aus, dass du Geschäftsleitung meinst. Ich interpretiere mal, dass ihr nur Mail als zusätzlichen Dienst über das AD laufen lasst?

Wenn ja, würde ich erst einmal den Ansatz suchen, seinen User umzubenennen. Dem Exchange ist das Wurst da über ID läuft und wenn die Dienste nach einem neuen Kennwort fragen, kannst Du mit dem GL-User das einfach ändern. Sollte irgendwo ein anderer Dienst da reingrätschen, existiert der User nicht mehr und es wird kein AD-Account gesperrt. So ist den Chef glücklich und du hast den Druck erst einmal raus face-smile

Ich will ja nicht die "Pferde scheu" machen, aber wenn es immer nach den normalen Arbeitszeiten passiert kann es ggf. sein, dass sich jemand im Netzwerk befindet, der da nicht rein soll?

Ggf. ist das ein Ansatz.

VG
Green14
erikro
erikro 15.10.2018 um 12:04:12 Uhr
Goto Top
Zitat von @Yellowcake:

kommt keiner ran, wenn es ja über den Rechner versucht werden würde, würde ja im Log nicht Workstation stehen sondern der Rechnername

Und wenn einer ein Notebook mitbringt und in eine Deiner Dosen steckt? Dann steht da evtl. ein Name, den Du nicht kennst.
departure69
departure69 15.10.2018 aktualisiert um 13:15:19 Uhr
Goto Top
Zitat von @erikro:

Zitat von @Yellowcake:

kommt keiner ran, wenn es ja über den Rechner versucht werden würde, würde ja im Log nicht Workstation stehen sondern der Rechnername

Und wenn einer ein Notebook mitbringt und in eine Deiner Dosen steckt? Dann steht da evtl. ein Name, den Du nicht kennst.


Kommt darauf an, ob so einer an einer gepatchten Dose eine IP kriegt und nur damit das Netzwerk bzw. die Netzwerkumgebung browsen kann.

Wenn er im Netzwerk browsen kann, sieht er sogar Freigaben (zumindest, wenn's keine Dollar-Freigaben sind) und versucht, in diese hineinzukommen.
Dabei müßte er aber die Zugriffscredentials desjenigen verwenden. der immer wieder gesperrt wird. Und diese auch noch in der richtigen Namenssyntax, also zum Beispiel maier@firma.local oder firma\maier, denn ohne Domänenangabe würde der Geschäftsleiter ja bei verweigerten Zugriffsversuchen nicht gesperrt.

Wenn also der Ehemann der Putzfrau mit seinem mitgebrachten Notebook namens "Workstation" eine gepatchte Dose findet/verwendet, und per DHCP eine IP kriegt, und das Netzwerk browsen kann, und den FQDN des Users verwendet, um den es hier geht, dann wäre das eine Möglichkeit. Das sind aber zu viele Voraussetzungen, finde ich. Nicht sehr wahrscheinlich.


Viele Grüße

von

departure69
erikro
erikro 15.10.2018 um 13:22:51 Uhr
Goto Top
Moin,

Zitat von @departure69:
Wenn also der Ehemann der Putzfrau mit seinem mitgebrachten Notebook namens "Workstation" eine gepatchte Dose findet/verwendet, und per DHCP eine IP kriegt, und das Netzwerk browsen kann, und den FQDN des Users verwendet, um den es hier geht, dann wäre das eine Möglichkeit. Das sind aber zu viele Voraussetzungen, finde ich. Nicht sehr wahrscheinlich.

80% aller Angriffe auf Firmennetzwerke kommen von innen. Wenn ich in der Firma beschäftigt bin, ist es meist ein leichtes, den Username herauszufinden, da er immer den gleichen Aufbau hat. Ich halte das für sehr wahrscheinlich.

Liebe Grüße

Erik
chgorges
chgorges 15.10.2018 um 13:33:19 Uhr
Goto Top
Zitat von @erikro:
ist es meist ein leichtes, den Username herauszufinden, da er immer den gleichen Aufbau hat

Sehr wage Vermutung :D
Yellowcake
Yellowcake 15.10.2018 um 13:52:48 Uhr
Goto Top
ich gehe davon aus das es einer Versucht, ich weiß aber noch nicht wie. Da wir auch noch mit Roaming Profilen arbeiten, macht es das noch viel einfacher zu finden. Also egal in welcher Dose oder im welchem W-Lan das her kommt. Interessant wäre zu wissen mit welcher IP Adresse und Mac adresse. Damit könnte man dann ja erkennen woher das kommt und so mehr eingrenzen.
aber was da das Eventlog macht ist ja echt mal ... :p
departure69
departure69 15.10.2018 um 13:59:57 Uhr
Goto Top
@erikro:

80% aller Angriffe auf Firmennetzwerke kommen von innen. Wenn ich in der Firma beschäftigt bin, ist es meist ein leichtes, den Username herauszufinden, da er immer den gleichen Aufbau hat. Ich halte das für sehr wahrscheinlich.

Aber wenn das ein Mitarbeiter wäre, müßte der doch ganz genau wissen, daß er bei einem net use mit den Credentials des Geschäftsleiters trotzdem nicht weit kommt, wenn er das PWD nicht kennt?
chgorges
chgorges 15.10.2018 um 14:10:48 Uhr
Goto Top
Zitat von @departure69:
Aber wenn das ein Mitarbeiter wäre, müßte der doch ganz genau wissen, daß er bei einem net use mit den Credentials des Geschäftsleiters > trotzdem nicht weit kommt, wenn er das PWD nicht kennt?

Dazu kommt, dass ein Mensch es dann auch irgendwann sein lässt. Deshalb eher nach den Diensten schauen. Oder wird der AD-Account auch für irgendetwas in Richtung Backup benötigt?
Tjelvar
Tjelvar 16.10.2018 um 10:23:30 Uhr
Goto Top
Moin,

ich hatte so einen Fall einmal bei einem Betriebsleiter in Zusammenspiel mit einem Exchange Server. Er hatte auf einem alten Tablet von sich, seine Mailadresse via ActiveSync angebunden. Nachdem nun das Passwort gewechselt wurde, und er das tablet nicht mehr nutzte hat er das Gerät an seine Kinder weiter gegeben. Und die haben natürlich das neue Passwort bei aufforderung nicht eingegeben, sodass sich das Tablet weiter mit den alten Daten authentifiziert hat, bzw es versucht hat. Daraufhin wurde der Benutzer immer wieder gesperrt. Ich bin fast verzweifelt bis er mir das mit dem Tablet verraten hat.

Gruß,
Tjelvar
departure69
departure69 16.10.2018 um 10:40:05 Uhr
Goto Top
@Tjelvar:

Unter anderem deshalb gibt es bei uns kein BYOD, Active Sync nur mit Firmengeräten. Wem erlaubt wird, vom privaten Rechner aus seine geschäftlichen Mails zu händeln, dem dann nur per OWA.

BYOD ohne ein ausgewachsenes, perfekt eingerichtetes und funktionierenes MDM würde bei uns in eine Katastrophe münden.

@Yellowcake:

Ich denke auch, daß es nur sowas sein kann, wie es @chgorges oder @Tjelvar geschrieben haben. Irgendetwas, das von selbst loslegt. Schon was neues herausgefunden?
Tjelvar
Tjelvar 16.10.2018 um 10:45:11 Uhr
Goto Top
Zitat von @departure69:

@Tjelvar:

Unter anderem deshalb gibt es bei uns kein BYOD, Active Sync nur mit Firmengeräten. Wem erlaubt wird, vom privaten Rechner aus seine geschäftlichen Mails zu händeln, dem dann nur per OWA.

BYOD ohne ein ausgewachsenes, perfekt eingerichtetes und funktionierenes MDM würde bei uns in eine Katastrophe münden.

Da gebe Ich dir grundsätzlich Recht, nur konnte ich mich da nicht gegen wehren. Weil Prokurist, das war schon ne riesen Diskussion, aber ich als kleiner Mitarbeiter hab die leider verloren. face-sad
departure69
departure69 16.10.2018 um 10:50:47 Uhr
Goto Top
Weil Prokurist, das war schon ne riesen Diskussion, aber ich als kleiner Mitarbeiter hab die leider verloren. 

Versteh' ich gut. Wenn die Chefs was wollen, ist das fast immer so.
Yellowcake
Yellowcake 16.10.2018 um 14:07:48 Uhr
Goto Top
leider noch nicht weiter gekommen. Problem ist halt, das Konto wird ja nur unregelmäßig gesperrt. Das Konto wird auch nur für Ihn benutzt. Backup Jobs und co laufen alle mit extra Konten. Damit so etwas gar nicht erst passieren kann.

Ich muss jetzt einfach wieder warten bis es wieder gesperrt wird, und hoffen das sich was verändert hat. Und muss dies auch erkennen...
Gehe aktuell von einen Angriff von innen aus. Ob ein MA oder ob es ein Dienst ist weiß ich aber noch nicht. Aktuell sagt mir mein Gefühl Dienst. Aber ich weiß nicht ansatzweise was es sein könnte. Frage ist halt noch mal an alle, ob jemand weiß wo Windows noch mehr Informationen speichert als in dem Log, die mir helfen könnten.
SeriousEE
SeriousEE 16.10.2018 um 16:42:49 Uhr
Goto Top
Hallo Yellowcake,

Suche auch mal nach der EventID 4625 im besagten Zeitraum.
Möglicherweise ist dort die Source Network Address enthalten, also die auslösende IP.

Beim Namen WORKSTATION würde ich auf einen Heimarbeitsplatz tippen, bei dem ein altes Passwort hinterlegt ist.
  • VPN
  • Netzlaufwerk verbunden

Viele Grüße
SeriousEE
127132
127132 17.10.2018 um 07:00:13 Uhr
Goto Top
Und wenn du jetzt einfach einen neuen User anlegst?
Das reine Umbenennen scheint ja nicht geholfen zu haben.
catcatcher
catcatcher 22.10.2018 um 10:26:26 Uhr
Goto Top
Moin,

bei unserem GF war es ein altes iPad, das an die Kinder vermacht wurde und der nicht gelöschte Exchange-Account.

Gruß Arno
Yellowcake
Yellowcake 23.10.2018 um 08:47:30 Uhr
Goto Top
Zitat von @SeriousEE:

Hallo Yellowcake,

Suche auch mal nach der EventID 4625 im besagten Zeitraum.
Möglicherweise ist dort die Source Network Address enthalten, also die auslösende IP.

Beim Namen WORKSTATION würde ich auf einen Heimarbeitsplatz tippen, bei dem ein altes Passwort hinterlegt ist.
  • VPN
  • Netzlaufwerk verbunden

Viele Grüße
SeriousEE

leider gibt es keinen eintrag in dem Zeitraum mit der EventID 4625 face-sad

ich habe jetzt den Anmeldenamen geändert, das hat wohl geholfen. Aber mich interessiert immer noch wer oder was da reingefunkt hat.

wie gesagt alte Geräte mit falschem PW kann ich ausschließen.
und ein heim PC gibt es nicht. Heim PCs kommen auch gar nicht in unser Netzwerk rein.
Und ich habe noch keinen Heim PC gesehen der WORKSTATION heißt. Die sind immer in der Arbeitsgruppe Workgroup und heißen dann immer irgend was mit zahlen wenn man keinen PC Namen vergibt. oder so eine Kombie aus Username und irgend ein paar zahlen, aber nicht nur "WORKSTATION". wäre auch gegen Microsoft Logik, wenn alle Heim PCs WORKSTATION heißen würden. Dann würde es im LAN Krachen face-smile
MaxMXT
MaxMXT 27.04.2022 um 14:34:18 Uhr
Goto Top
Hab gerade in einem Reddit Beitrag dazu gelesen, dass es sich bei den Aufrufcomputernamen: Workstation wahrscheinlich um einen Mac handelt.
Link: https://www.reddit.com/r/activedirectory/comments/7ko0fa/account_lockout ...