«

»

Feb 23

Debug locked user in Active Directory

Oggi descriviamo un caso reale in cui un utente di un dominio Windows veniva continuamente bloccato per troppi tentativi errati di digitazione della password di logon; sul dominio c’era attiva la policy di blocco dell’account in caso di errata digitazione della password per N volte.

In realtà il server di dominio era “attaccato” da un malware presente sul pc di un ospite che stava facendo un brute force attack sulla password dell’utente admin che esisteva nel dominio ed era usato come utente generico per gli application server dell’azienda.

 

L’effetto era che l’utente admin finiva in stato locked continuamente e anche riabilitandolo dopo pochi minuti ritornava subito in locked proprio a causa del malware che effettuava un’attività intensiva di tentativi per indovinare la password di quell’utente.

Purtroppo analizzando l’event log viewer del server DC del dominio non si trovava traccia di questi tentativi di logon errati, per riuscire ad individuare quale fosse la macchina che continuava a fare i logon errati è stato necessario attivare il debug del processo netlogon sul server DC, i comandi per l’attivazione sono :

  • aprire sul server un prompt dei comandi (cmd) come amministratore
  • digitare i seguenti comandi :
    Nltest /DBFlag:2080FFFF
    net stop netlogon
    net start netlogon

 

A questo punto è stato sufficiente attendere il prossimo lock dell’utente admin e quindi analizzare il log creato sul server nel percorso :

c:\windows\debug\netlogon.log

alla ricerca delle righe contenenti lo stato 0xc000006A che indicano i tentativi di logon con password errata, nel nostro caso apparivano moltissime righe simili a questa :

02/01 11:25:50 [LOGON] DOM: SamLogon: Network logon of dom\admin from HPLAP11 Entered
02/01 11:25:50 [LOGON] DOM: SamLogon: Network logon of dom\admin from HPLAP11 Returns 0xC000006A

(dove DOM era il nome del nostro dominio in esame)

appariva evidente quindi che la macchina infetta che stava tentando i logins errati era un pc chiamato HPLAP11 (infatti era un portatile HP), è bastato quindi da un prompt dei comandi digitare :

ping -a HPLAP11

per avere come risposta l’indirizzo IP assegnato a quella macchina, da quello si è capito che era uno degli indirizzi IP riservati dal server DHCP alla rete degli ospiti e si è potuta individuare con precisione la macchina infetta che è stata poi in seguito scollegata dalla rete e ripulita dal malware !

 

Al termine della procedura di debug del netlogon sul server DC ricordatevi di disattivare il debug o il server continuerà a registrare ogni transazione del servizio di logon col rischio di creare un file di log enorme e di appesantire il server con un’attività di monitoraggio inutile, i comandi per la disattivazione sono :

  • aprire sul server un prompt dei comandi (cmd) come amministratore
  • digitare i seguenti comandi :
    Nltest /DBFlag:0
    net stop netlogon
    net start netlogon

 

Oltre allo stato 0xc000006A che indica password errata nel file di log del netlogon vengono riportati anche questi stati che potrebbero essere utili per altre attività di debug di problemi con la procedura di autenticazione su un dominio WIndows :

0xC0000064 User logon with Misspelled or Bad User Account

0xC000006A User logon with Misspelled or bad Password

0xC000006F User logon Outside authorized hours

0xC0000070 User logon from unauthorized workstation

0xC0000071 User logon with Expired Password

0xC0000072 User logon to account disabled by Administrator

0xC0000193 User logon with Expired Account

0xC0000224 User logon with “Change Password at Next Logon” flagged

0xC0000234 User logon with Account Locked

 

Per maggiori informazioni potete fare riferimento a questi articoli tecnici del support Microsoft :

https://support.microsoft.com/en-us/help/109626/enabling-debug-logging-for-the-netlogon-service

Troubleshooting Netlogon Error Codes

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Puoi usare i seguenti tag ed attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

code