System Windows umożliwia ustawieniewartości progowej dla blokady konta w celu określenia liczby prób zalogowania się użytkownika przy użyciu nieprawidłowego hasła, zanim jego konto zostanie zablokowane. Można również określić czas, przez jaki konto pozostaje zablokowane za pomocą ustawienia „Czas trwania blokady” konta. Zasady blokowania kont pomagają chronić sieć przed próbami zgadywania haseł i potencjalnymi atakami siłowymi. Rygorystyczne zasady mogą jednak oznaczać, że użytkownicy mają mniej prób przypomnienia sobie haseł, co prowadzi do częstszego blokowania ich kont.
System Windows generuje dwa rodzaje zdarzeń związanych z blokadami kont. Zdarzenie o identyfikatorze 4740 jest generowane na kontrolerach domeny, serwerach systemu Windows i stacjach roboczych za każdym razem, gdy konto zostaje zablokowane. Zdarzenie o identyfikatorze 4767 jest generowane za każdym razem, gdy konto jest odblokowane. W tym poradniku skupimy się na identyfikatorze zdarzenia 4740.
Identyfikator zdarzenia 4740 — Właściwości zdarzenia
Identyfikator zdarzenia 4740 — Karta Szczegóły
Rozbijmy właściwości tego zdarzenia na podmiot, konto, które zostało zablokowane oraz informacje dodatkowe, jak pokazano na karcie Ogólne (rys. 1).
Identyfikator zabezpieczeń: Identyfikator SID konta, które wykonało operację blokady.
Nazwa rachunku: Nazwa konta, które wykonało operację blokady.
Domena konta: Nazwa domeny lub komputera. Formaty mogą być różne i obejmować nazwę NETBIOS, pełną nazwę domeny pisaną małymi literami lub pełną nazwę domeny pisaną wielkimi literami.
Dla znanych podmiotów zabezpieczeń pole to ma wartość „NT AUTHORITY”, a dla lokalnych kont użytkowników pole to będzie zawierać nazwę komputera, do którego należy to konto.
Identyfikator logowania: Identyfikator logowania pomaga skorelować to zdarzenie z ostatnimi zdarzeniami, które mogą zawierać ten sam identyfikator logowania (np identyfikator zdarzenia 4625).
Identyfikator zabezpieczeń: Identyfikator SID konta, które zostało zablokowane. System Windows próbuje rozpoznać identyfikatory SID i pokazać nazwę konta. Jeśli identyfikator SID nie może zostać rozpoznany, zobaczysz dane źródłowe w zdarzeniu.
Nazwa rachunku: Nazwa konta, które zostało zablokowane.
Nazwa komputera wywołującego: Nazwa konta komputera (np. JOHN-WS12R2), z którego została wygenerowana próba logowania.
Chociaż można dołączyć zadanie do dziennika zabezpieczeń i zażądać od systemu Windows wysłania wiadomości e-mail, użytkownik jest ograniczony do otrzymywania wiadomości e-mail, gdy generowane jest zdarzenie o identyfikatorze 4740, a system Windows nie ma możliwości zastosowania bardziej szczegółowych filtrów.
Dzięki narzędziu takiemu jak ADAudit Plus można nie tylko stosować filtry szczegółowe, aby skupić się na rzeczywistych zagrożeniach, ale także otrzymywać powiadomienia w czasie rzeczywistym za pośrednictwem wiadomości SMS.
Wykorzystaj zaawansowaną analizę statystyczną i techniki uczenia maszynowego do wykrywania anomalnych zachowań w sieci.
Spełnij różne normy zgodności, takie jak SOX, HIPAA, PCI, FISMA, GLBA i RODO, dzięki gotowym raportom zgodności.
Od pobrania programu ADAudit Plus do otrzymywania alertów w czasie rzeczywistym w mniej niż 30 minut. Dzięki ponad 200 wstępnie skonfigurowanym raportom i alertom, program ADAudit Plus zapewnia, że usługa Active Directory pozostaje zabezpieczona i zgodna z przepisami.