8
GPO gesucht - Konto bei fehlerhafter Dienstanmeldung - lockout policy
Hi,
ich hab gerade mit einer etwas seltsam anmutenden Thematik zu tun. Irgendjemand hatte die geniale Idee, an der GPO für NTLMv2 Einstellungen für Anmeldungen herumzubasteln in dem Sinne "send NTLMv2 only refuse NTLM" oder ähnlich, und eine Software hier kickt nach einer Admin-Aktion (die nicht alle Tage vorkommt) ein Service-Konto danach in eine 30-minütige Kontosperre und dann sind ca. 100 Benutzer ausgesperrt.
Bei Lichte betrachtet nutzt die Software eine "impersonation" bei Dateisystemzugriffen in einem Fileshare, sprich die Benutzer kommen nicht selbst auf den Fileshare, sondern über ein verstecktes Benutzerkonto. Die Software selbst hat eine Komponente für normale Userzugriffe, die damit problemlos klarkommt.
Aber sie hat noch eine zweite Komponente, die eine Art Volltextindex auf Basis einiger Adobe-Techniken pflegt, und die macht dann folgendes:
- Anmeldversuch mit dem gespeicherten Dienstekonto über NTLM
- Danach ist das Konto für 30 Minuten gesperrt.
- Eintrag im Ereignisprotokoll Bereich "Sicherheit": Benutzername oder Paßwort falsch.
- Dialogbox von der Software: "Benutzerkonto deaktiviert" und dann noch eine (Folgefehler): Fileshare nicht zugänglich. Benachrichtigen Sie den Admin
Die Anmeldeinformationen sind richtig, aber die NTLM negotiation schläft fehl... ich kann das Verhalten übrigens auch mit einem net use und einem bewußt falschem Kennwort provozieren obwohl die reguläre Lockout policy in der GPO einen Lockout erst nach dem zehnten Versuch vorsieht. Beim net use ist das verwendete Benutzerkonto dann sofort für 30 Minuten gelockt.
Weiß jemand wie diese Policy für fehlgesclagene Diensteanmeldungen heißt?
Ich schwöre bei gekreuzten Fingern, daß Google in Deutsch und Englisch da nur Unsinn ausspuckt.
ich hab gerade mit einer etwas seltsam anmutenden Thematik zu tun. Irgendjemand hatte die geniale Idee, an der GPO für NTLMv2 Einstellungen für Anmeldungen herumzubasteln in dem Sinne "send NTLMv2 only refuse NTLM" oder ähnlich, und eine Software hier kickt nach einer Admin-Aktion (die nicht alle Tage vorkommt) ein Service-Konto danach in eine 30-minütige Kontosperre und dann sind ca. 100 Benutzer ausgesperrt.
Bei Lichte betrachtet nutzt die Software eine "impersonation" bei Dateisystemzugriffen in einem Fileshare, sprich die Benutzer kommen nicht selbst auf den Fileshare, sondern über ein verstecktes Benutzerkonto. Die Software selbst hat eine Komponente für normale Userzugriffe, die damit problemlos klarkommt.
Aber sie hat noch eine zweite Komponente, die eine Art Volltextindex auf Basis einiger Adobe-Techniken pflegt, und die macht dann folgendes:
- Anmeldversuch mit dem gespeicherten Dienstekonto über NTLM
- Danach ist das Konto für 30 Minuten gesperrt.
- Eintrag im Ereignisprotokoll Bereich "Sicherheit": Benutzername oder Paßwort falsch.
- Dialogbox von der Software: "Benutzerkonto deaktiviert" und dann noch eine (Folgefehler): Fileshare nicht zugänglich. Benachrichtigen Sie den Admin
Die Anmeldeinformationen sind richtig, aber die NTLM negotiation schläft fehl... ich kann das Verhalten übrigens auch mit einem net use und einem bewußt falschem Kennwort provozieren obwohl die reguläre Lockout policy in der GPO einen Lockout erst nach dem zehnten Versuch vorsieht. Beim net use ist das verwendete Benutzerkonto dann sofort für 30 Minuten gelockt.
Weiß jemand wie diese Policy für fehlgesclagene Diensteanmeldungen heißt?
Ich schwöre bei gekreuzten Fingern, daß Google in Deutsch und Englisch da nur Unsinn ausspuckt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 500154
Url: https://administrator.de/contentid/500154
Printed on: April 19, 2024 at 06:04 o'clock
8 Comments
Latest comment
Hallo,
Gruß,
Peter
Zitat von @GrueneSosseMitSpeck:
die reguläre Lockout policy in der GPO einen Lockout erst nach dem zehnten Versuch vorsieht. Beim net use ist das verwendete Benutzerkonto dann sofort für 30 Minuten gelockt.
Schau Sicherheitsereignis protokoll. Das Speren war mal (immer noch) ID 539. Und davor solltest du fehlerhafte anmeldeversuche sehen. Nach deine Überlegung wäre ein Konto auch gesperrt wenn es in den letzten 10 Jahren schon 9 erfolglose Anmneldeversuche gab, und dein net use mit fehler würden sofort das Konto sperren da es nun nummer 10 war. Niemals.die reguläre Lockout policy in der GPO einen Lockout erst nach dem zehnten Versuch vorsieht. Beim net use ist das verwendete Benutzerkonto dann sofort für 30 Minuten gelockt.
Weiß jemand wie diese Policy für fehlgesclagene Diensteanmeldungen heißt?
Gibt es da eine extra Policy?Ich schwöre bei gekreuzten Fingern, daß Google in Deutsch und Englisch da nur Unsinn ausspuckt.
Wieso, kam als Antwort immer 42 oder Jerry LewisGruß,
Peter
Hi,
Du meinst sicherlich
GPO
Computerkonfiguration
Richtlinien
Windows-Einstellungen
Sicherheitseinstellungen
Lokale Richtlinine
Sicherheitsoptionen
Da gibt es mehrere Einstellungen zu NTLM --> "Netzwerksicherheit: LAN Manager-Authentifizierungsebene"
E.
Du meinst sicherlich
GPO
Computerkonfiguration
Richtlinien
Windows-Einstellungen
Sicherheitseinstellungen
Lokale Richtlinine
Sicherheitsoptionen
Da gibt es mehrere Einstellungen zu NTLM --> "Netzwerksicherheit: LAN Manager-Authentifizierungsebene"
E.
Zitat von @GrueneSosseMitSpeck:
Ich schwöre bei gekreuzten Fingern, daß Google in Deutsch und Englisch da nur Unsinn ausspuckt.
Ja, suchen ist schwer.Ich schwöre bei gekreuzten Fingern, daß Google in Deutsch und Englisch da nur Unsinn ausspuckt.
Hast Du shon mal die Kombi "GPO force NTLMv2" versucht. Nur ein Beispiel.
wär nett wenn man Texte liest und nicht nur überfliegt
a) hatte ich die GPO ja schon benannt die den Fehler triggert: "send NTLMv2 only refuse NTLM"
b) hatte ich gesagt daß es NICHT die Benutzer-Lockout policy ist sondern eine für Dienste die man eben nicht mal so eben findet.
Als ich sowas mal in einem AD auf Windows 2000 level hatte wurde mir gesagt das Alt-AD in der Firma wäre im Laufe der letzten 10 Jahre etwas kaputt und sie würden 2011 ein Neues auf 2008R2 Level machen. Ist aber (scheinbar) eine undefinierte GPO die quer durch alle mir bekannten Windows Versionen so ausgelegt wird daß man nach EINEM Service-Loginfehler bzw. net use Loginfehler das Konto für 30 Minuten sperrrt OBWOHL die Lockount policy für den AD Account auf 10 fehlerhafte Versuche stand.
Sowas kriegt man auch mal ganz schnell wenn das Paßwort eines Service Accounts im AD geändert wird und man das nicht auf allen Servern - die den Account nutzen - nachzieht und einen vergißt oder ein Server war für das Powershell Skript in genau dem Moment nicht erreichbar.
Dann wundert man sich daß nach einem Patchday die ersten 10 SQL Server hochfahren, der 11. nicht weil "Der dienst kontne wegen einer fehlerhaften Anmeldung nicht gestartet werden" und SQL SErver 12-X dann mit "Der Dienst konnte nicht gestartet werden, weil das Dienstestartkonto gesperrt ist".
a) hatte ich die GPO ja schon benannt die den Fehler triggert: "send NTLMv2 only refuse NTLM"
b) hatte ich gesagt daß es NICHT die Benutzer-Lockout policy ist sondern eine für Dienste die man eben nicht mal so eben findet.
Als ich sowas mal in einem AD auf Windows 2000 level hatte wurde mir gesagt das Alt-AD in der Firma wäre im Laufe der letzten 10 Jahre etwas kaputt und sie würden 2011 ein Neues auf 2008R2 Level machen. Ist aber (scheinbar) eine undefinierte GPO die quer durch alle mir bekannten Windows Versionen so ausgelegt wird daß man nach EINEM Service-Loginfehler bzw. net use Loginfehler das Konto für 30 Minuten sperrrt OBWOHL die Lockount policy für den AD Account auf 10 fehlerhafte Versuche stand.
Sowas kriegt man auch mal ganz schnell wenn das Paßwort eines Service Accounts im AD geändert wird und man das nicht auf allen Servern - die den Account nutzen - nachzieht und einen vergißt oder ein Server war für das Powershell Skript in genau dem Moment nicht erreichbar.
Dann wundert man sich daß nach einem Patchday die ersten 10 SQL Server hochfahren, der 11. nicht weil "Der dienst kontne wegen einer fehlerhaften Anmeldung nicht gestartet werden" und SQL SErver 12-X dann mit "Der Dienst konnte nicht gestartet werden, weil das Dienstestartkonto gesperrt ist".
Reden wir jetzt von "echten" Dienstkonten oder von "normalen" Konten, welche für Dienste benutzt werden?
Falls erstes:
Genau aus diesem Grund nutzt man ein Dienstkonto nur für genau einen Dienst auf genau einem Server.
Falls zweites:
Ist doch logisch?
Das höre ich auch zum ersten Mal.
Falls erstes:
Genau aus diesem Grund nutzt man ein Dienstkonto nur für genau einen Dienst auf genau einem Server.
Falls zweites:
Ist doch logisch?
Zitat von @Pjordorf:
Jetzt verstehe ich diese Frage.Weiß jemand wie diese Policy für fehlgesclagene Diensteanmeldungen heißt?
Gibt es da eine extra Policy?Das höre ich auch zum ersten Mal.
es geht um separat angelegte AD Konten die das Recht "Anmelden als Dienst" erhalten haben.
Da bestimmte Dienste dahinter halt außerhalb des eigenen Rechners z.B. Dateien in einem Fileshare ablegen müssen oder per SMTP und Windows Authentifizierung Mails verschicken geht das nicht anders... und dann halt pro Verwendungszweck ein AD Konto (z.B. eins für SAP, eins für nen Todo-Erinnerungsserver der XML Dateien vom SAP liest und Erinnerungsmails versendet)
Da bestimmte Dienste dahinter halt außerhalb des eigenen Rechners z.B. Dateien in einem Fileshare ablegen müssen oder per SMTP und Windows Authentifizierung Mails verschicken geht das nicht anders... und dann halt pro Verwendungszweck ein AD Konto (z.B. eins für SAP, eins für nen Todo-Erinnerungsserver der XML Dateien vom SAP liest und Erinnerungsmails versendet)
Dann - behaupte ich mal - gibt es keine separate Policy für solche Konten. Das verbirgt sich dann allein hinter den von mir bereits genannten Sicherheitseinstellungen bzgl. "LanManager" (NTLM).
Was ich mir höchstens vorstellen könnte, dass Ihr bei Euch für diese Konten eine extra Passwort-Richtlinie (PSO) eingerichtet habt, als Du jetzt glaubst.
Andererseits könnte es aber auch sein, dass bei dem von Dir genannten Verfahren, welches diese Software benutzt, eben schon mal 10x hintereinander versucht wird, damit anzumelden. Bzw. wenn da mehrere Instanzen dieser Software auf verschiedenen Computern parallel laufen, dann kommen diese 10 Versuche auch ganz schnell zustande. Das kannst Du Dir mittels der Überwachungsrichtlinien anzeigen lassen. Dabei wird dann im Eventlog "Sicherheit" auf dem DC gelogt, wenn ein Konto wegen wiederholt falschem Passworts gesperrt wird.
Was ich mir höchstens vorstellen könnte, dass Ihr bei Euch für diese Konten eine extra Passwort-Richtlinie (PSO) eingerichtet habt, als Du jetzt glaubst.
Andererseits könnte es aber auch sein, dass bei dem von Dir genannten Verfahren, welches diese Software benutzt, eben schon mal 10x hintereinander versucht wird, damit anzumelden. Bzw. wenn da mehrere Instanzen dieser Software auf verschiedenen Computern parallel laufen, dann kommen diese 10 Versuche auch ganz schnell zustande. Das kannst Du Dir mittels der Überwachungsrichtlinien anzeigen lassen. Dabei wird dann im Eventlog "Sicherheit" auf dem DC gelogt, wenn ein Konto wegen wiederholt falschem Passworts gesperrt wird.
werd ich mal einstellen, und gucken was da passiert. Zur Not hab ich noch 2 kostenlose Supportanfragen über MSDN offen die ich noch nicht verbraten hab.
edit: es kann natürlich sein daß das mehrere Instanzen waren (z.B. 10) denn da kommen schon dreistellige Benutzerzahlen zusammen und wenn von denen zehn User innerhalb von 30 Minuten jeweils einen Fehlversuch triggern, dann paßt des. Da die aber über ca. 15 Citrix-Server verteilt sind ist das eine Sisyphusarbeit, das einzig und alleine aus den lokalen Eventprotokollen herauszufischen,
Daß Windows allerdings ein Konto sperrt weil die NTLMv2 Aushandlung fehlgeschlagen ist dürfte meines Erachtens nicht zu einem Resultat "wrong username or bad password" führen wenn weiter unten steht NTLM only
An account failed to log on.
Subject:
Security ID: S-1-5-21-3410834513-64813593-1901178099-2106
Account Name: mustermann
Account Domain: WIN16
Logon ID: 0x46E4C0
Logon Type: 2
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: netlogincomplex
Account Domain: win16
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC000006A
Process Information:
Caller Process ID: 0xe10
Caller Process Name: C:\Program Files (x86)\ToolEx03\24\Current\Bin\IndexUpdater.exe
Network Information:
Workstation Name: WIN-SUPERIA2SBC
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: Advapi
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
edit: es kann natürlich sein daß das mehrere Instanzen waren (z.B. 10) denn da kommen schon dreistellige Benutzerzahlen zusammen und wenn von denen zehn User innerhalb von 30 Minuten jeweils einen Fehlversuch triggern, dann paßt des. Da die aber über ca. 15 Citrix-Server verteilt sind ist das eine Sisyphusarbeit, das einzig und alleine aus den lokalen Eventprotokollen herauszufischen,
Daß Windows allerdings ein Konto sperrt weil die NTLMv2 Aushandlung fehlgeschlagen ist dürfte meines Erachtens nicht zu einem Resultat "wrong username or bad password" führen wenn weiter unten steht NTLM only
An account failed to log on.
Subject:
Security ID: S-1-5-21-3410834513-64813593-1901178099-2106
Account Name: mustermann
Account Domain: WIN16
Logon ID: 0x46E4C0
Logon Type: 2
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: netlogincomplex
Account Domain: win16
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC000006A
Process Information:
Caller Process ID: 0xe10
Caller Process Name: C:\Program Files (x86)\ToolEx03\24\Current\Bin\IndexUpdater.exe
Network Information:
Workstation Name: WIN-SUPERIA2SBC
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: Advapi
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
