Active Directory: ricercare l’origine di un account bloccato

Ti hanno notificato il blocco di un account e vuoi capire su quale computer sia l’origine? In questo articolo viene illustrato come ricercare l’origine di un blocco account in Active Directory (Account Lockout).

Password dimenticate, errori di digitazione, sbadataggine o tentivi di attacco reali sono alcune delle cause che fanno inserire troppe volte una password errata causando il blocco preventivo di un account in AD.

L’attività di indagine e unlock risulta essere una delle più richieste al referente IT aziendale e per le realtà in cui la sicurezza è un caposaldo, ricercare e verificare la provenienza di un blocco account è fondamentale per non incorrere in spiacevoli sorprese. Mai riattivare senza aver prima verificato che si tratti di un falso positivo o di una minaccia reale.

Ricercare l’ordine di un account bloccato

1. Auditing

Ovvero, senza log comprensibili non si va da nessuna parte!

In una rete che si basa su Active Directory è fondamentale abilitare i log necessari e che permettano di avere una correlazione tra il blocco utente e l’evento che lo ha generato. Per farlo velocemente su tutti di DC sarà sufficiente una piccola variazione nella Default Domain Controller Policy da effettuarsi nella Group Policy Management Console.

Fig.1

Il parametro da abilitare è l’Audit User Account Management reperibile in questo percorso:

Computer configuration -> Security Settings -> Advanced Audit Policy Configuration -> Audit Policies -> Account Management

Fig.2

gpupdate /force in un prompt dei comandi amministrativo su tutti i DC per aver la cretezza che la policy venga subito applicata.

2. Verifica del PDC

Se si ha più di un domain controller nella rete è importante verificare quele di questi svolga la funzione di PDC. Contrariamente ai domain controller base che registrano, grazie alla policy abilitata sopra le attività autenticazioni diche avvengono su di essi, nel PDC saranno presenti tutti i log degli account bloccati anche se l’autenticazione è avvenuta su un’altro DC.

In una finestra powershell aperta in modo amministrativo:

get-addomain | select PDCEmulator

Il risultato sarà il nome del server che svolge la funzione di PDC nella rete. I comandi successivi andranno eseguiti su quel server specifico.

3. Ricercare l’evento ID 4740

Da questo punto inizia la lettura dei log che ci porteranno a conoscenza del computer dalla quale è scaturito l’evento che ha bloccato l’account incriminato.

In una finestra powershell con privegi elevati si esegue il comando seguente per ricercare nel registro eventi di Windows tutti i log ccontenenti l’ID 4740:

Get-WinEvent -FilterHashtable @{logname=’security’; id=4740}

Se il comando restituisce risultati, questi ultimi si possono dettagliare per cercare l’account bloccato sulla quale desideriamo capirci di più e il computer che ha causato l’evento:

Get-WinEvent -FilterHashtable @{logname=’security’; id=4740} | fl
Fig.3

In fig.3 ho eviedenziato il dettaglio di un log ID 4740 che riporta il campo Account name, l’utente bloccato, e il Caller Computer Name, il computer dalla quale si presume sia scaturito l’evento di blocco.

La stessa ricerca può essere fatta anche graficamente nel registro eventi del domain controller ricercando, tramite apposito filtro, l’ID 4740.

Fig.4

Spero che questo articolo ti sia risultato utile. Se hai domande o commenti lascia un post qui sotto.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.