Vérouillage compte AD à répétiton

Bonjour,

cela peut avoir plusieurs sources:
-Un pirate qui essaye de faire du brute force sur des comptes. Mais il le
ferait plutôt sur des comptes membres du groupe "administrateurs du domaine"
-Des tâches planifiées qui tournent avec leur compte mais un ancien mot de
passe
-Des accès depuis un AS/400 avec des anciens mots de passes

Regardez sur vos DC la source des essais infructueux

Vous pouvez aussi désactiver au moins temporairement le verrouillage des
comptes, c'est une fausse bonne protection comme expliqué par Steve Riley
ici:
http://blogs.technet.com/steriley/archive/2007/09/04/passwords-policies-once-again.aspx


--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"fabien.guillemain" <fabien.guillemain@synertrade.com(sansspam)> wrote in
message news:9BDF1696-0F2E-47C8-9F2E-8BCF46FF06C2@microsoft.com...

Bonjour à tous,

Je suis Admin. réseau dans une société de 180 personnes composé d'un siège
situé sur paris ainsi que plusieurs agence reparties sur toutes la France.
Depuis 2 jours un certain nombre de mes utilisateurs me rapporte que leurs
comptes se verrouillent plusieurs fois par jours sans même avoir composé
trop
de mot de passe erronés. J'ai pu aussi observer que plusieurs compte se
sont
verrouillés dans la nuit (le compte n'est pas verrouiller lors de
l'extinction du pc en fin de journée et se retrouve verrouiller le
lendemain
matin lors de la mise en route).

Je tiens a préciser que les comptes n'ont pas de date d'expiration et que
je
n'ai malheureusement rien trouver de probant dans les journaux
d'évènement.
Ce problème tend à se propager de plus en plus. Avez vous une idée.

Merci d'avance.

Fabien

Bonjour,

Tout d’abord merci d'avoir étudier mon problème. J'ai étudié toutes vos
propositions.
- En ce qui concerne le brute force le compte admin a en
faites été verrouillé à plusieurs reprises.
- Pour ce qui est des taches planifiées nous n'en avons pas
ajoutées de nouvelles depuis que le problème c'est déclaré.
- Pour l'AS 400 nous en avons effectivement un mais qui a
été hors ligne pendant un certain temps ce qui n'a pas empêché le problème de
continuer.

A ce jour le problème persiste, les info sur les contrôleur de domaine me
donne seulement la liste des comptes verrouillés et m'indique que trop de mot
passe erronés ont été composé et donc que le compte a été verrouillé.

Si nous subissons effectivement une attaque en brute force la solution de
désactiver le blocage des comptes n'est peut être pas la meilleure. Cependant
auriez vous une idée de logiciel ou autre pour savoir d'ou viens l'attaque
(si attaque il y a) j'ai contrôlé les log(s) de mes Fortiget et je n'ai rien
trouvé, peut être que ces info(s) ne sont pas enregistré dans les log(s) des
Fortiget.

Cdt


Fabien GUILLEMAIN

Bonjour,

cela peut avoir plusieurs sources:
-Un pirate qui essaye de faire du brute force sur des comptes. Mais il le
ferait plutôt sur des comptes membres du groupe "administrateurs du domaine"
-Des tâches planifiées qui tournent avec leur compte mais un ancien mot de
passe
-Des accès depuis un AS/400 avec des anciens mots de passes

Regardez sur vos DC la source des essais infructueux

Vous pouvez aussi désactiver au moins temporairement le verrouillage des
comptes, c'est une fausse bonne protection comme expliqué par Steve Riley
ici:
http://blogs.technet.com/steriley/archive/2007/09/04/passwords-policies-once-again.aspx


--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"fabien.guillemain" <fabien.guillemain@synertrade.com(sansspam)> wrote in
message news:9BDF1696-0F2E-47C8-9F2E-8BCF46FF06C2@microsoft.com...

Bonjour à tous,

Je suis Admin. réseau dans une société de 180 personnes composé d'un siège
situé sur paris ainsi que plusieurs agence reparties sur toutes la France.
Depuis 2 jours un certain nombre de mes utilisateurs me rapporte que leurs
comptes se verrouillent plusieurs fois par jours sans même avoir composé
trop
de mot de passe erronés. J'ai pu aussi observer que plusieurs compte se
sont
verrouillés dans la nuit (le compte n'est pas verrouiller lors de
l'extinction du pc en fin de journée et se retrouve verrouiller le
lendemain
matin lors de la mise en route).

Je tiens a préciser que les comptes n'ont pas de date d'expiration et que
je
n'ai malheureusement rien trouver de probant dans les journaux
d'évènement.
Ce problème tend à se propager de plus en plus. Avez vous une idée.

Merci d'avance.

Fabien

sur les comptes à problème, pouvez-vous faire:
démarrer / exécuter / control keymgr.dll

vérifiez qu'il n'y a pas de compte enregistré pointant vers des machines du
domaine.

Hasard, mais je viens de traduire un post de Steve Riley sur les mots de
passes, et notamment le verrouillage des comptes:
http://lordoftheping.blogspot.com/2007/09/politique-de-mots-de-passe-encore-une.html



--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"fabien.guillemain" <fabien.guillemain@synertrade.com(sansspam)> wrote in
message news:7BC96525-96DD-4B30-A453-4B55C7323D41@microsoft.com...

Bonjour,

Tout d’abord merci d'avoir étudier mon problème. J'ai étudié toutes vos
propositions.
- En ce qui concerne le brute force le compte admin a en
faites été verrouillé à plusieurs reprises.
- Pour ce qui est des taches planifiées nous n'en avons
pas
ajoutées de nouvelles depuis que le problème c'est déclaré.
- Pour l'AS 400 nous en avons effectivement un mais qui a
été hors ligne pendant un certain temps ce qui n'a pas empêché le problème
de
continuer.

A ce jour le problème persiste, les info sur les contrôleur de domaine me
donne seulement la liste des comptes verrouillés et m'indique que trop de
mot
passe erronés ont été composé et donc que le compte a été verrouillé.

Si nous subissons effectivement une attaque en brute force la solution de
désactiver le blocage des comptes n'est peut être pas la meilleure.
Cependant
auriez vous une idée de logiciel ou autre pour savoir d'ou viens l'attaque
(si attaque il y a) j'ai contrôlé les log(s) de mes Fortiget et je n'ai
rien
trouvé, peut être que ces info(s) ne sont pas enregistré dans les log(s)
des
Fortiget.

Cdt


Fabien GUILLEMAIN

Bonjour,

cela peut avoir plusieurs sources:
-Un pirate qui essaye de faire du brute force sur des comptes. Mais il le
ferait plutôt sur des comptes membres du groupe "administrateurs du
domaine"
-Des tâches planifiées qui tournent avec leur compte mais un ancien mot
de
passe
-Des accès depuis un AS/400 avec des anciens mots de passes

Regardez sur vos DC la source des essais infructueux

Vous pouvez aussi désactiver au moins temporairement le verrouillage des
comptes, c'est une fausse bonne protection comme expliqué par Steve Riley
ici:
http://blogs.technet.com/steriley/archive/2007/09/04/passwords-policies-once-again.aspx


--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"fabien.guillemain" <fabien.guillemain@synertrade.com(sansspam)> wrote in
message news:9BDF1696-0F2E-47C8-9F2E-8BCF46FF06C2@microsoft.com...

Bonjour à tous,

Je suis Admin. réseau dans une société de 180 personnes composé d'un
siège
situé sur paris ainsi que plusieurs agence reparties sur toutes la
France.
Depuis 2 jours un certain nombre de mes utilisateurs me rapporte que
leurs
comptes se verrouillent plusieurs fois par jours sans même avoir
composé
trop
de mot de passe erronés. J'ai pu aussi observer que plusieurs compte se
sont
verrouillés dans la nuit (le compte n'est pas verrouiller lors de
l'extinction du pc en fin de journée et se retrouve verrouiller le
lendemain
matin lors de la mise en route).

Je tiens a préciser que les comptes n'ont pas de date d'expiration et
que
je
n'ai malheureusement rien trouver de probant dans les journaux
d'évènement.
Ce problème tend à se propager de plus en plus. Avez vous une idée.

Merci d'avance.

Fabien

Vous pouvez aussi utiliser ce freeware pour qu'il sorte les essais
infructueux à partir des eventlog:
http://www.foundstone.com/us/resources/proddesc/ntlast.htm


--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"fabien.guillemain" <fabien.guillemain@synertrade.com(sansspam)> wrote in
message news:7BC96525-96DD-4B30-A453-4B55C7323D41@microsoft.com...

Bonjour,

Tout d’abord merci d'avoir étudier mon problème. J'ai étudié toutes vos
propositions.
- En ce qui concerne le brute force le compte admin a en
faites été verrouillé à plusieurs reprises.
- Pour ce qui est des taches planifiées nous n'en avons
pas
ajoutées de nouvelles depuis que le problème c'est déclaré.
- Pour l'AS 400 nous en avons effectivement un mais qui a
été hors ligne pendant un certain temps ce qui n'a pas empêché le problème
de
continuer.

A ce jour le problème persiste, les info sur les contrôleur de domaine me
donne seulement la liste des comptes verrouillés et m'indique que trop de
mot
passe erronés ont été composé et donc que le compte a été verrouillé.

Si nous subissons effectivement une attaque en brute force la solution de
désactiver le blocage des comptes n'est peut être pas la meilleure.
Cependant
auriez vous une idée de logiciel ou autre pour savoir d'ou viens l'attaque
(si attaque il y a) j'ai contrôlé les log(s) de mes Fortiget et je n'ai
rien
trouvé, peut être que ces info(s) ne sont pas enregistré dans les log(s)
des
Fortiget.

Cdt


Fabien GUILLEMAIN

Bonjour,

cela peut avoir plusieurs sources:
-Un pirate qui essaye de faire du brute force sur des comptes. Mais il le
ferait plutôt sur des comptes membres du groupe "administrateurs du
domaine"
-Des tâches planifiées qui tournent avec leur compte mais un ancien mot
de
passe
-Des accès depuis un AS/400 avec des anciens mots de passes

Regardez sur vos DC la source des essais infructueux

Vous pouvez aussi désactiver au moins temporairement le verrouillage des
comptes, c'est une fausse bonne protection comme expliqué par Steve Riley
ici:
http://blogs.technet.com/steriley/archive/2007/09/04/passwords-policies-once-again.aspx


--
Cordialement,
Mathieu CHATEAU
http://lordoftheping.blogspot.com


"fabien.guillemain" <fabien.guillemain@synertrade.com(sansspam)> wrote in
message news:9BDF1696-0F2E-47C8-9F2E-8BCF46FF06C2@microsoft.com...

Bonjour à tous,

Je suis Admin. réseau dans une société de 180 personnes composé d'un
siège
situé sur paris ainsi que plusieurs agence reparties sur toutes la
France.
Depuis 2 jours un certain nombre de mes utilisateurs me rapporte que
leurs
comptes se verrouillent plusieurs fois par jours sans même avoir
composé
trop
de mot de passe erronés. J'ai pu aussi observer que plusieurs compte se
sont
verrouillés dans la nuit (le compte n'est pas verrouiller lors de
l'extinction du pc en fin de journée et se retrouve verrouiller le
lendemain
matin lors de la mise en route).

Je tiens a préciser que les comptes n'ont pas de date d'expiration et
que
je
n'ai malheureusement rien trouver de probant dans les journaux
d'évènement.
Ce problème tend à se propager de plus en plus. Avez vous une idée.

Merci d'avance.

Fabien

fabien.guillemain a écrit le 06/09/2007 à 10h26 :

Bonjour à tous,

Je suis Admin. réseau dans une société de 180 personnes
composé d'un siège
situé sur paris ainsi que plusieurs agence reparties sur toutes la
France.
Depuis 2 jours un certain nombre de mes utilisateurs me rapporte que leurs
comptes se verrouillent plusieurs fois par jours sans même avoir
composé trop
de mot de passe erronés. J'ai pu aussi observer que plusieurs compte se
sont
verrouillés dans la nuit (le compte n'est pas verrouiller lors de
l'extinction du pc en fin de journée et se retrouve verrouiller le
lendemain
matin lors de la mise en route).

Je tiens a préciser que les comptes n'ont pas de date d'expiration et
que je
n'ai malheureusement rien trouver de probant dans les journaux
d'évènement.
Ce problème tend à se propager de plus en plus. Avez vous une
idée.

Merci d'avance.

Fabien

Bonjour Fabien,

J'ai exactement le même problème, as-tu trouvé une solution ?

Merci

Bonjour,

De sessions TS/RDP idle initiées avec un ancien mot de passe, des service
démarrant avec le compte de l'utilisateur, l'utilisation de cached
credentials ou de network credentials... sont autant de raisons possibles
N'excluez pas non-plus un utilisateur malveillant: une simple boucle listant
tous les utilisateurs AD et exécutant un "net use" avec un mauvais mot de
passe peut également verrouiller les comptes...

Il y a-t-il eu récemment des opérations de restore d'un ou plusieurs domain
controller, en particulier en manière non supportée (snapshot...)

Pour vous aider à tracer l'origine du verrouillage des comptes vous pouvez,
si ce n'est déjà fait, activer l'audit des logon et inspecter les failures,
les raisons de celle-ci ainsi que l'IP source
Utilisez la suite d'outil et articles suivants pour vous assister:
-
http://www.microsoft.com/downloads/details.aspx?FamilyIDzF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en
- http://support.microsoft.com/kb/109626/fr
- http://support.microsoft.com/kb/189541/fr

--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]


"cosanostra-93" <cosanostra-93@domain-xyz.in> wrote in message
news:fJudnYJXSZgPifPU4p2dnAA@giganews.com...

fabien.guillemain a écrit le 06/09/2007 à 10h26 :

Bonjour à tous,

Je suis Admin. réseau dans une société de 180 personnes
composé d'un siège
situé sur paris ainsi que plusieurs agence reparties sur toutes la
France.
Depuis 2 jours un certain nombre de mes utilisateurs me rapporte que
leurs
comptes se verrouillent plusieurs fois par jours sans même avoir
composé trop
de mot de passe erronés. J'ai pu aussi observer que plusieurs compte se
sont
verrouillés dans la nuit (le compte n'est pas verrouiller lors de
l'extinction du pc en fin de journée et se retrouve verrouiller le
lendemain
matin lors de la mise en route).

Je tiens a préciser que les comptes n'ont pas de date d'expiration et
que je
n'ai malheureusement rien trouver de probant dans les journaux
d'évènement.
Ce problème tend à se propager de plus en plus. Avez vous une
idée.

Merci d'avance.

Fabien

Bonjour Fabien,

J'ai exactement le même problème, as-tu trouvé une solution ?

Merci

Bonjour,

les conseils de Marc sont imparables. Afin cependant d'apporter ma -récente
et malheureuse- petite expérience chez mon client, la vague de virus
W32.Downadup A et B tend à se répandre grandement en Europe en ce moment.

Fabien, peux tu nous confirmer que :

- Ton anti-virus est bien à jour sur TOUS tes postes et serveurs
- Tout le parc est patché contre la faille MS08-067 :
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net

"Lognoul Marc [MVP]" <lognoulm@hotmail.com> a écrit dans le message de news:
ObQtwmmdJHA.1916@TK2MSFTNGP02.phx.gbl...

Bonjour,

De sessions TS/RDP idle initiées avec un ancien mot de passe, des service
démarrant avec le compte de l'utilisateur, l'utilisation de cached
credentials ou de network credentials... sont autant de raisons possibles
N'excluez pas non-plus un utilisateur malveillant: une simple boucle
listant tous les utilisateurs AD et exécutant un "net use" avec un mauvais
mot de passe peut également verrouiller les comptes...

Il y a-t-il eu récemment des opérations de restore d'un ou plusieurs
domain controller, en particulier en manière non supportée (snapshot...)

Pour vous aider à tracer l'origine du verrouillage des comptes vous
pouvez, si ce n'est déjà fait, activer l'audit des logon et inspecter les
failures, les raisons de celle-ci ainsi que l'IP source
Utilisez la suite d'outil et articles suivants pour vous assister:
-
http://www.microsoft.com/downloads/details.aspx?FamilyIDzF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en
- http://support.microsoft.com/kb/109626/fr
- http://support.microsoft.com/kb/189541/fr

--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]


"cosanostra-93" <cosanostra-93@domain-xyz.in> wrote in message
news:fJudnYJXSZgPifPU4p2dnAA@giganews.com...

fabien.guillemain a écrit le 06/09/2007 à 10h26 :

Bonjour à tous,

Je suis Admin. réseau dans une société de 180 personnes
composé d'un siège
situé sur paris ainsi que plusieurs agence reparties sur toutes la
France.
Depuis 2 jours un certain nombre de mes utilisateurs me rapporte que
leurs
comptes se verrouillent plusieurs fois par jours sans même avoir
composé trop
de mot de passe erronés. J'ai pu aussi observer que plusieurs compte se
sont
verrouillés dans la nuit (le compte n'est pas verrouiller lors de
l'extinction du pc en fin de journée et se retrouve verrouiller le
lendemain
matin lors de la mise en route).

Je tiens a préciser que les comptes n'ont pas de date d'expiration et
que je
n'ai malheureusement rien trouver de probant dans les journaux
d'évènement.
Ce problème tend à se propager de plus en plus. Avez vous une
idée.

Merci d'avance.

Fabien

Bonjour Fabien,

J'ai exactement le même problème, as-tu trouvé une solution ?

Merci

Bonsoir,

Je suis assez d'accord avec Jonathan. Si vous avez le moindre doute, le
point important est qu il ne faut pas se logguer en tant qu'admin du domaine
(si vous devez le faire localement sur un DC, debrancher le cable reseau).
Sur les machines potentiellement infectées, le virus peut emprunter
l'identité de l'utilisateur courant et donc utiliser ses privileges pour se
repandre sur toutes les machines.

Si des comptes admin du domaine ont été compromis il faudra changer leur mot
de passe , voir pour l'instant et à moyen terme désactiver ces comptes.

Une liste (non exhaustive ) des mots de passes que le virus essai d utiliser
se trouve ici (dans l onglet Analysis) :
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B

Si vous utilisez des mots de passe faibles pour les comptes Admin (locaux /
domaine/ service) il est impératif de les changer

En completement il me semble aussi qu'il faut desactiver l autorun pour
eviter une reinfection via shares reseaux :
http://support.microsoft.com/kb/953252/en-us (attention un hotfix appliqué
en pré-requis).

.HTH,
C.


"Jonathan BISMUTH" <jonathan.bismuth.NOSPAM@gmail.com> wrote in message
news:uPuxxludJHA.3692@TK2MSFTNGP04.phx.gbl...

Bonjour,

les conseils de Marc sont imparables. Afin cependant d'apporter
ma -récente et malheureuse- petite expérience chez mon client, la vague de
virus W32.Downadup A et B tend à se répandre grandement en Europe en ce
moment.

Fabien, peux tu nous confirmer que :

- Ton anti-virus est bien à jour sur TOUS tes postes et serveurs
- Tout le parc est patché contre la faille MS08-067 :
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Cordialement,
--
Jonathan BISMUTH
MVP Windows Server - Directory Services
MCSE 2000, Transcript (ID: 691839, code: MCSE2000)
http://blog.portail-mcse.net

"Lognoul Marc [MVP]" <lognoulm@hotmail.com> a écrit dans le message de
news: ObQtwmmdJHA.1916@TK2MSFTNGP02.phx.gbl...

Bonjour,

De sessions TS/RDP idle initiées avec un ancien mot de passe, des service
démarrant avec le compte de l'utilisateur, l'utilisation de cached
credentials ou de network credentials... sont autant de raisons possibles
N'excluez pas non-plus un utilisateur malveillant: une simple boucle
listant tous les utilisateurs AD et exécutant un "net use" avec un
mauvais mot de passe peut également verrouiller les comptes...

Il y a-t-il eu récemment des opérations de restore d'un ou plusieurs
domain controller, en particulier en manière non supportée (snapshot...)

Pour vous aider à tracer l'origine du verrouillage des comptes vous
pouvez, si ce n'est déjà fait, activer l'audit des logon et inspecter les
failures, les raisons de celle-ci ainsi que l'IP source
Utilisez la suite d'outil et articles suivants pour vous assister:
-
http://www.microsoft.com/downloads/details.aspx?FamilyIDzF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en
- http://support.microsoft.com/kb/109626/fr
- http://support.microsoft.com/kb/189541/fr

--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]


"cosanostra-93" <cosanostra-93@domain-xyz.in> wrote in message
news:fJudnYJXSZgPifPU4p2dnAA@giganews.com...

fabien.guillemain a écrit le 06/09/2007 à 10h26 :

Bonjour à tous,

Je suis Admin. réseau dans une société de 180 personnes
composé d'un siège
situé sur paris ainsi que plusieurs agence reparties sur toutes la
France.
Depuis 2 jours un certain nombre de mes utilisateurs me rapporte que
leurs
comptes se verrouillent plusieurs fois par jours sans même avoir
composé trop
de mot de passe erronés. J'ai pu aussi observer que plusieurs compte se
sont
verrouillés dans la nuit (le compte n'est pas verrouiller lors de
l'extinction du pc en fin de journée et se retrouve verrouiller le
lendemain
matin lors de la mise en route).

Je tiens a préciser que les comptes n'ont pas de date d'expiration et
que je
n'ai malheureusement rien trouver de probant dans les journaux
d'évènement.
Ce problème tend à se propager de plus en plus. Avez vous une
idée.

Merci d'avance.

Fabien

Bonjour Fabien,

J'ai exactement le même problème, as-tu trouvé une solution ?

Merci