Comment trouver l'origine
du verrouillage d'un compte
Audit d'origine contre Netwrix Auditor for Active Directory
Les verrouillages de compte se produisent tout le temps. La plupart sont causés par des erreurs d'utilisateur - mais parfois un verrouillage de compte est le signe d'une attaque. Pour savoir exactement ce qui s'est passé, vous devez d'abord déterminer de quel poste de travail provient le verrouillage.
Netwrix Auditor for AD
Audit d'origine
1.
1.
Ouvrez le Powershell ISE sur votre contrôleur de domaine → exécutez le script Powershell suivant :
Exécuter Netwrix Auditor → Naviguer jusqu'à "Search" → Spécifier les critères suivants :
• Filtre – "What"
• Opérateur – "Contains"
• Valeur – "<nom d'utilisateur du compte>"
• Filtre – "Details"
• Opérateur – "Contains"
• Valeur – "Locked out"
Import-Module ActiveDirectory
$UserName = Read-Host "Please enter username"
#Get main DC
$PDC = (Get-ADDomainController -Filter * | Where-Object
{ $_.OperationMasterRoles -contains "PDCEmulator"})
#Get user info
$UserInfo = Get-ADUser -Identity $UserName
#Search PDC for lockout events with ID 4740
$LockedOutEvents = Get-WinEvent -ComputerName $PDCEmulator.HostName -FilterHashtable @{LogName='Security';Id=4740} -ErrorAction Stop | Sort-Object -Property TimeCreated -Descending
#Parse and filter out lockout events
Foreach($Event in $LockedOutEvents)
{
If($Event | Where { $_.Properties[2].value -match $UserInfo.SID.Value})
{
$Event | Select-Object -Property @(
@{Label = 'User'; Expression = { $_.Properties[0].Value}}
@{Label = 'DomainController'; Expression =
{ $_.MachineName}}
@{Label = 'EventId'; Expression = { $_.Id}}
@{Label = 'LockoutTimeStamp'; Expression =
{ $_.TimeCreated}}
@{Label = 'Message'; Expression = { $_.Message -split "`r" | Select -First 1}}
@{Label = 'LockoutSource'; Expression =
{ $_.Properties[1].Value}}
)
}}
Exemple de rapport :
Apprenez plus sur Netwrix Auditor for Active Directory
2.
2.
Cliquez sur "Search" et consultez les résultats.
Nous ne partageons jamais vos données. Privacy Policy
Les verrouillages de compte se produisent tout le temps. La plupart sont causés par des erreurs d'utilisateur - mais parfois un verrouillage de compte est le signe d'une attaque. Pour savoir exactement ce qui s'est passé, vous devez d'abord déterminer de quel poste de travail provient le verrouillage.
Exécuter Netwrix Auditor → Naviguer jusqu'à "Search" → Spécifier les critères suivants :
• Filtre – "What"
• Opérateur – "Contains"
• Valeur – "<nom d'utilisateur du compte>"
• Filtre – "Details"
• Opérateur – "Contains"
• Valeur – "Locked out"
Exemple de rapport :
Apprenez plus sur Netwrix Auditor for Active Directory
Cliquez sur "Search" et consultez les résultats.
Obtenez le rapport en 2 étapes :
Nous ne partageons jamais vos données. Privacy Policy
Corporate Headquarters : 6160 Warren Parkway, Suite 100 Frisco, TX, US 75034 | France : +33 9 75 18 11 19
© 2024 Netwrix Corporation