💆 🕴🏾 ♒️ Active Directoryアカウントのロックダウン：ツールと診断のガイド 🧔🏼 🛌🏽 🛠️

アカウントのロックアウトはシステム管理者にとって面倒であり、Active Directory（AD）では一般的です。調査によると、アカウントのロックアウトはITサポートに電話する最も一般的な理由です。

また、Active Directoryアカウントをブロックする主な理由（ユーザーがパスワードを忘れた場合を除く）は、古い資格情報で認証するデバイス上で実行中のアプリまたはバックグラウンドサービスです。ユーザーはより多くのデバイスを使用する必要があるため、この問題はさらに複雑になります。この問題を解決するには、sysadminは、古い資格情報で実行されているアプリケーションを見つけて、それを停止するか、ユーザーに資格情報の更新を依頼する必要があります。

ActiveDirectoryがアカウントロックを処理する方法は最新ではありません。以前は、ほとんどのOfficeユーザーが1つのデバイスからログインすると、資格情報を簡単に追跡できました。しかし今、状況は変わりました。

この記事では、Active Directoryアカウントのロックがどのように発生するか、それらを修正する方法、およびアカウントのロック解除に費やされる時間とリソースを削減するポリシーを作成する方法について詳しく説明します。

概要：ActiveDirectoryをブロックする最も一般的な理由

ほとんどのActiveDirectoryアカウントのロックは、ユーザーがパスワードを忘れた、またはすべてのデバイスで資格情報を更新しないという2つの理由のいずれかで発生します。

最初のケースでは、ユーザーがパスワードを忘れた場合、管理者はユーザーの資格情報をリセットするか、強力なパスワードを作成することが重要であることをユーザーに通知するか、パスワードマネージャーを使用して記憶するパスワードの数を減らすようにアドバイスする必要があります。 2番目のケースでは、一部のデバイスまたはサービスが古いデータでログインしようとすると、この問題にはより複雑な解決策が必要になります。これはまさにこの記事で検討する問題です。

このタイプのアカウントロックアウトの基本的な仕組みは次のとおりです。デフォルトでは、Active Directoryは、ログインに3回失敗すると、ユーザーをブロックします。ほとんどの場合、ユーザーがActive Directoryアカウントの資格情報を更新するように求められると、最もよく使用するデバイスで更新します。このユーザーの他のデバイスは古い資格情報を保持でき、プログラムまたはサービスはそれらを使用してActiveDirectoryへのアクセスを自動的に試行し続けます。これらのデバイスの資格情報は無効になっているため、ログインできなくなり、Active Directoryはアカウントを非常に迅速にロックして、ブルートフォース攻撃のように見えることを防ぎます。

ほとんどの場合、sysadminは、これらの不正なログイン試行の原因を特定し、それらをブロックするか、ユーザーに資格情報の更新を依頼することを余儀なくされます。ユーザーが数十の異なるソースからログインする必要がある今日の環境では、根本的な原因を見つけることは困難な作業になる可能性があり、そのような問題の頻度を減らすための適切なブロックポリシーを開発することもできます。記事の後半で、両方に対処する方法を示します。

ActiveDirectoryでブロックする一般的な理由

アカウントのロックアウトの問題を解決するための解決策について説明する前に、上記の2つの最も一般的なアカウントのロックアウトの理由以外にも、他にも多くの理由があることに注意してください。

Microsoftには、ブロッキングの問題をトラブルシューティングする方法に関するTechNetの記事全体があり、リストには次のものが含まれています。

キャッシュに古い資格情報があるプログラム
サービスアカウントのパスワードの変更。
誤ったパスワード入力のしきい値を低く設定しすぎています。
複数のコンピューターでのユーザーログオン。
保存されたユーザー名とパスワードには古い資格情報が含まれています。
古い資格情報を持つスケジュールされたジョブ。
古い資格情報を持つドライブを割り当てる。
ActiveDirectoryの誤った複製。
中断されたターミナルサーバーセッション。
古いサービスアカウントのログイン。

Active Directoryの基本をよく理解していれば、ActiveDirectoryブロッキングの問題のトラブルシューティングが簡単になります。ActiveDirectoryをマスターするのに役立つ多くのチュートリアルを作成しました。最高のActiveDirectoryチュートリアルのガイドから始めることをお勧めします。必ず理解させるのActive Directoryのユーザーとコンピュータの間の差を、道のActive Directoryサービスの作業、およびADとLDAPとの違い。

これらのトピックを理解すると、アカウントのブロックがどのように機能するかをよく理解できるようになります。

アカウントのブロックの問題を解決する

Active Directoryアカウントのロックアウトには多くの潜在的な原因があるため、システム管理者はこの問題を解決するために多大な労力を費やさなければならないことがよくあります。システム管理者は、ドメインフォレスト内のロックが有効なユーザーの数を追跡するようにシステムを構成して、ユーザーの呼び出しが殺到する前にロックアウトの問題をトラブルシューティングできるようにする必要があります。

最初のステップ

ブロックされたアカウントを最初に特定するとき、最初の最も重要なタスクは、ブロックがサイバー攻撃によって引き起こされているかどうかを判断することです。

調査するのに十分な情報があることを確認するには、いくつかの重要な手順を実行する必要があります。

最新のサービスパックとホットフィックスがドメインコントローラーとクライアントコンピューターにインストールされていることを確認します。
データ収集用にコンピューターを構成します。
- ドメインレベルでの監査を有効にします。
- Netlogonロギングを有効にします。
- Kerberosロギングを有効にします。
イベントログファイルとNetlogonログファイルからデータを分析します。これは、ロックが発生する場所と理由を判別するのに役立ちます。
アカウントロックを生成しているコンピューターのイベントログを分析して、原因を特定します。

これらのログを確認した後、数百（または数千）のログイン試行の失敗が表示された場合は、システムに対するブルートフォース攻撃が発生している可能性があるため、すぐに対処する必要があります。閉塞の原因が通常の理由であることが判明した場合は、それがどのように発生したかを調べる必要があります。

ブロッキングポリシーで考慮すべき要素

複数の種類のActiveDirectoryアカウントのロックアウトが常に発生する場合は、ロックアウトポリシーを確認することでこれを修正できます。

多くの管理者は、すべてではないにしても、ほとんどのアカウントロックアウトは、よりスマートなActiveDirectoryアカウントロックアウトポリシーを実装することで対処できると言うでしょう。このアプローチの支持者は、管理者がドメインのデフォルトのGPOに移動し、適切なブロック設定をより適切なものに変更することをお勧めします。

アカウントロックアウトしきい値パラメーターブロッキングがハッカーによるブルートフォース攻撃によってのみトリガーされるように、3よりもはるかに大きい数（おそらく20または30）に変更する必要があります（この場合、数百回の試行があります）。

アカウントのロックアウト期間（アカウントの自動ロック解除が完了するまでの待機時間）は、10分（たとえば、12時間ではなく）、またはデフォルト値のゼロ（永続的なロックアウトを意味する）に設定する必要があります。 ..。

最後に、トリッキーな「アカウントロックアウトポリシーのリセット後」設定はデフォルトで1分に設定されています。このアプローチの詳細については、こちらをご覧ください。

何人かのVaronisエンジニアから専門家のアドバイスを受けた後、デフォルトのActiveDirectoryブロッキング設定を変更することも役立つことを学びました。ただし、最初に従業員のパスワードの全体的な強度を確認する必要があるため、これには注意する必要があります。パスワードポリシーが強力な場合は、「アカウントロックアウトのしきい値」を増やすことが理にかなっている可能性があります。そうしないと、機能しない可能性があります。さらに、このしきい値は常にゼロでなければならないという良い議論があります。その結果、ユーザーはアカウントのブロックを解除するためにサポートに連絡する必要があります。

最終的に、採用するアプローチは、環境と日常的に発生する障害物の数によって異なります。ネットワークに侵入しようとしている侵入者を捕まえることができる一方で、アカウントのリセットの試行回数を制御するロックアウトポリシーの実装に努める必要があります。

ActiveDirectoryアカウントロックを処理するための3つのツール

Active Directoryアカウントのロックアウトは非常に一般的であり、ネットワーク管理者にとってはフラストレーションの原因となるため、問題に対処するためにいくつかのツールが特別に設計されています。マイクロソフトが提供するものもあれば、サードパーティが提供するものもあります。これが最高のもののリストです：

アカウントロックアウトステータスソフトウェア

これは、MicrosoftがActiveDirectoryアカウントのロックアウトを管理するために提供するツールの標準セットです。これは、いくつかの個別のコンポーネントで構成されています。

これらはそれぞれ、ネットワークのさまざまな側面を探索するのに役立ちます。

EventCombMT.exeは、ドメインコントローラーのイベントログからイベントを収集してフィルタリングします。このツールには、アカウントロックの検索機能が組み込まれています。特定のアカウントロックに関連付けられたイベントIDを、エクスポート可能な別のテキストファイルに収集します。
LockoutStatus.exe , . , .
Netlogon Netlogon NT LAN Manager (NTLM). Netlogon — . Netlogon NLParse.exe, .
Acctinfo ADUC ( Active Directory), lastLogon ( ) Password Expires ( ). , ADUC, « ». , .

ADLockouts

これは、ActiveDirectoryのブロックを引き起こした無効なパスワードの試行の原因を追跡しようとする単純なプログラムです。

このツールは小規模なネットワークには最適ですが、大規模な環境ではそれほど効果的ではありません。アプリケーションは、各ドメインとドメインコントローラーでログインの失敗を検索し、関連するすべてのイベントを分析します。その目的は、閉塞の理由を特定することです。その後、プログラムは各マシンを分析し、マップされたドライブ、古いリモートセッション、スケジュールされたタスクなど、多数のオブジェクトのアカウントロックの一般的なケースをすべて表示します。

パワーシェル

もちろん、Active Directoryアカウントがロックアウトされている理由を調査するための最も直接的なアプローチを取り、PowerShellを使用することができます。このプロセスは、上記のツールよりも少し時間がかかり、複雑になる可能性がありますが、システムで正確に何が起こっているかについてのより詳細な情報も提供します。

PowerShellを使用すると、アカウント固有のイベントのイベントログを簡単にフィルタリングして、アカウントのロックアウトの原因を特定できます。

これは、Get-EventLogコマンドレットと次のコマンドを使用して実行できます。

Get-EventLog -LogName Security | ?{{$_.message -like "*locked*USERNAME*"}} | fl -property *

Get-UserLockoutStatus . , , , , .

ネットワーク管理者の場合、ActiveDirectoryアカウントをブロックするのがどれほど面倒なことかを説明する必要はおそらくないでしょう。このことを念頭に置いて、アカウントのロックアウトをActive Directoryの不可欠な機能として扱い、サポートリクエストを受け取るとすぐにユーザーアカウントのロックを自動的に解除したいという誘惑に駆られます。

ただし、これは間違ったアプローチです。アカウントのロックアウトの根本的な原因を時間をかけて調査することで、アカウントのロックアウトが頻繁に発生するのを防ぐことができます。さらに、ブロッキングポリシーを変更すると、ユーザーエラーがブロッキングを引き起こしている場合や、ネットワークに対するサイバー犯罪攻撃を特定するための効果的な方法になります。

最終的に、Active Directoryを理解することで、アカウントのロックアウトをどれだけ効果的に防止および管理できるかが決まります。これらの問題の原因を追跡できないことにしばしば不満を感じる場合は、当社が提供するリソースを使用できます。特に、Active Directoryのユーザーとコンピューターに関するガイドと機密データのラベル付けに関するガイドを確認して、サイバー攻撃からネットワークをより適切に保護してください。

Active Directoryアカウントのロックダウン：ツールと診断のガイド