تأمين حساب Active Directory: دليل للأدوات والتشخيصات

تعد عمليات تأمين الحساب بمثابة متاعب لمسؤولي النظام وهي شائعة في Active Directory (AD). وفقًا للأبحاث ، فإن إغلاق الحساب هو السبب الأكثر شيوعًا للاتصال بدعم تكنولوجيا المعلومات.



والسبب الرئيسي لحظر حسابات Active Directory (بخلاف نسيان المستخدمين لكلمة المرور الخاصة بهم) هو تطبيق قيد التشغيل أو خدمة في الخلفية على الجهاز الذي يقوم بالمصادقة باستخدام بيانات اعتماد قديمة. نظرًا لأن المستخدمين مطالبون باستخدام المزيد من الأجهزة ، فإن هذه المشكلة تتفاقم. لحل هذه المشكلة ، يحتاج مسؤولو النظام إلى العثور على التطبيق الذي يعمل ببيانات اعتماد قديمة ثم إما إيقافه أو مطالبة المستخدم بتحديث بيانات الاعتماد.



الطريقة التي يتعامل بها Active Directory مع تأمين الحساب ليست محدثة. في الماضي ، عندما كان معظم مستخدمي Office يقومون بتسجيل الدخول من جهاز واحد ، كان من السهل عليهم تتبع بيانات الاعتماد الخاصة بهم. لكن الوضع تغير الآن.

في هذه المقالة ، سنشرح بمزيد من التفصيل كيفية حدوث أقفال حساب Active Directory ، وكيفية إصلاحها ، وكيفية إنشاء سياسة من شأنها تقليل الوقت والموارد التي يتم إنفاقها على فتح الحسابات.

لمحة سريعة: الأسباب الأكثر شيوعًا لحظر Active Directory

تحدث معظم عمليات تأمين حساب Active Directory لأحد سببين: إما أن ينسى المستخدمون كلمات المرور الخاصة بهم ، أو أنهم لا يقومون بتحديث بيانات الاعتماد الخاصة بهم على جميع الأجهزة .



في الحالة الأولى ، عندما ينسى المستخدم كلمة مرور ، يحتاج المسؤول فقط إلى إعادة تعيين بيانات اعتماد المستخدم ، وتذكيره بأنه من المهم إنشاء كلمة مرور قوية ، أو حتى نصحه باستخدام مدير كلمات المرور لتقليل عدد كلمات المرور التي يجب تذكرها. في الحالة الثانية ، عندما يحاول جهاز أو خدمة ما تسجيل الدخول ببيانات قديمة ، تتطلب هذه المشكلة حلاً أكثر تعقيدًا ، وهذه هي بالضبط المشكلة التي سننظر فيها في مقالتنا.



الآليات الأساسية لهذا النوع من تأمين الحساب هي كما يلي. بشكل افتراضي ، يقوم Active Directory بحظر المستخدم بعد ثلاث محاولات تسجيل دخول غير ناجحة. في معظم الحالات ، عندما يُطلب من المستخدم تحديث بيانات اعتماد حساب Active Directory ، فإنه يفعل ذلك على أجهزته الأكثر استخدامًا. يمكن لأي جهاز آخر لهذا المستخدم الاحتفاظ ببيانات الاعتماد القديمة ، وستستمر البرامج أو الخدمات تلقائيًا في محاولة الوصول إلى Active Directory باستخدامها. نظرًا لأن بيانات الاعتماد الموجودة على هذه الأجهزة لم تعد صالحة ، فلن يتمكنوا من تسجيل الدخول ، وسيقوم Active Directory بسرعة كبيرة بقفل الحساب لمنع ما يشبه هجوم القوة الغاشمة.



في معظم الحالات ، سيُجبر مسؤولو النظام على تحديد مصدر محاولات تسجيل الدخول غير القانونية هذه وإما حظرهم أو مطالبة المستخدم بتحديث بيانات اعتمادهم. في بيئة اليوم حيث قد يحتاج المستخدمون إلى تسجيل الدخول من عشرات المصادر المختلفة ، قد يكون العثور على السبب الجذري مهمة شاقة ، بالإضافة إلى تطوير سياسة حظر مناسبة يمكنها تقليل تكرار مثل هذه المشكلات. لاحقًا في المقالة ، سنوضح لك كيفية التعامل مع كليهما.

الأسباب الشائعة للحظر في Active Directory

قبل أن نتحدث عن حلول للمساعدة في مشكلة تأمين حسابك ، تجدر الإشارة إلى أنه بالإضافة إلى السببين الأكثر شيوعًا أعلاه لإغلاق الحساب ، هناك العديد من الأسباب الأخرى.



لدى Microsoft مقالة TechNet كاملة حول كيفية استكشاف مشكلات الحظر وإصلاحها ، وتشمل القائمة:

• البرامج التي تحتوي على بيانات اعتماد قديمة في ذاكرة التخزين المؤقت الخاصة بها
• تغيير كلمات المرور في حسابات الخدمة ؛
• وضع حد منخفض جدًا لإدخال كلمة مرور غير صحيح ؛
• تسجيل دخول المستخدم على أجهزة كمبيوتر متعددة ؛
• تحتوي أسماء المستخدمين وكلمات المرور المحفوظة على بيانات اعتماد قديمة ؛
• وظائف مجدولة بأوراق اعتماد قديمة ؛
• تعيين محركات بأوراق اعتماد قديمة ؛
• النسخ المتماثل غير الصحيح لـ Active Directory ؛
• جلسات خادم المحطة الطرفية المتقطعة ؛
• خدمة تسجيل الدخول إلى حساب الخدمة القديمة.

سيكون استكشاف مشكلات حظر Active Directory وإصلاحها أسهل إذا كان لديك فهم جيد لأساسيات Active Directory. لقد كتبنا العديد من البرامج التعليمية لمساعدتك على إتقان Active Directory. نوصي بالبدء بدليلنا لأفضل دروس Active Directory . تأكد من فهمك للاختلاف بين المستخدمين وأجهزة الكمبيوتر في Active Directory ، والطريقة التي تعمل بها خدمات Active Directory ، والفرق بين AD و LDAP .



بمجرد فهمك لهذه الموضوعات ، سيكون لديك فهم ممتاز لكيفية عمل حظر الحساب.

حل مشكلة حظر الحسابات

نظرًا للعديد من الأسباب المحتملة لإغلاق حساب Active Directory ، غالبًا ما يتعين على مسؤولي النظام بذل جهود كبيرة لحل هذه المشكلة. يجب على مسؤولي النظام تكوين النظام لتعقب عدد المستخدمين الذين تم تمكين تأمينهم في مجموعة مجال حتى يتمكنوا من استكشاف مشكلات الإغلاق وإصلاحها قبل إغراقهم بمكالمات المستخدم.

الخطوات الأولى

عندما تحدد حسابًا محظورًا لأول مرة ، فإن المهمة الأولى والأكثر أهمية هي تحديد ما إذا كان الحظر ناتجًا عن هجوم إلكتروني.



للتأكد من أن لديك معلومات كافية للتحقيق ، هناك عدة خطوات أساسية يجب عليك اتخاذها:

1. تأكد من تثبيت أحدث حزم الخدمة والإصلاحات العاجلة على وحدات تحكم المجال وأجهزة الكمبيوتر العميلة.
2. تكوين أجهزة الكمبيوتر لجمع البيانات:
   
   
   • تمكين التدقيق على مستوى المجال ؛
   • تمكين تسجيل الدخول إلى الشبكة ؛
   • تمكين تسجيل Kerberos.
   
   
   
3. تحليل البيانات من ملفات سجل الأحداث وملفات تسجيل Netlogon. سيساعد هذا في تحديد مكان حدوث الأقفال ولأي سبب.
4. قم بتحليل سجلات الأحداث على الكمبيوتر الذي يقوم بإنشاء تأمين الحساب لتحديد السبب.

إذا رأيت ، بعد مراجعة هذه السجلات ، المئات (أو الآلاف) من محاولات تسجيل الدخول الفاشلة ، فمن المحتمل أنك ترى هجومًا عنيفًا على أنظمتك ويجب عليك اتخاذ إجراء فوري. إذا اتضح أن سبب المنع هو أسباب عادية ، فأنت بحاجة إلى معرفة كيفية حدوثه.

عوامل يجب مراعاتها في سياسة الحظر

إذا كنت تواجه باستمرار أنواعًا متعددة من عمليات تأمين حساب Active Directory ، فيمكنك إصلاح ذلك من خلال مراجعة سياسة التأمين الخاصة بك.



سيخبرك العديد من المسؤولين أنه يمكن معالجة معظم عمليات تأمين الحسابات ، إن لم يكن كلها ، من خلال تطبيق سياسات أكثر ذكاءً لإغلاق حساب Active Directory . يوصي أنصار هذا الأسلوب بأن ينتقل المسؤول إلى GPO الافتراضي للمجال وتغيير إعدادات الحظر المناسبة إلى إعدادات أكثر ملاءمة.



معلمة حد تأمين الحسابيجب تغييره إلى رقم أكبر بكثير من 3 - ربما 20 أو 30 - بحيث لا يتم تشغيل الحظر إلا عن طريق هجوم القوة الغاشمة من قبل المتسلل (في هذه الحالة هناك مئات المحاولات)



يجب تعيين مدة قفل الحساب - وهي مدة الانتظار قبل فتح الحساب تلقائيًا - على 10 دقائق (بدلاً من 12 ساعة على سبيل المثال) ، أو القيمة الافتراضية صفر (مما يعني الحظر الدائم) ...



أخيرًا ، يتم تعيين الإعداد الصعب "إعادة تعيين سياسة تأمين الحساب بعد" على دقيقة واحدة افتراضيًا. يمكنك قراءة المزيد عن هذا النهج هنا .



بعد الحصول على مشورة مهنية من العديد من مهندسي Varonis ، تعلمت أن تغيير إعدادات حظر Active Directory الافتراضية يمكن أن يساعد أيضًا. لكن عليك أن تكون حذرًا في هذا الأمر ، لأنك تحتاج أولاً إلى التحقق من القوة الإجمالية لكلمات مرور الموظف. إذا كانت سياسة كلمة المرور قوية ، فقد يكون من المنطقي زيادة "حد تأمين الحساب" ، وإلا فقد لا تعمل. بالإضافة إلى ذلك ، هناك حجة جيدة مفادها أن معلمة العتبة هذه يجب أن تكون صفرًا دائمًا. نتيجة لذلك ، سيتعين على المستخدمين الاتصال بالدعم لإلغاء حظر حساباتهم.

في النهاية ، سيعتمد النهج الذي تتبعه على بيئتك وعدد العوائق التي تواجهها يوميًا. يجب أن تسعى جاهدة لتنفيذ سياسة تأمين من شأنها التحكم في عدد محاولات إعادة تعيين الحساب مع استمرار القدرة على التقاط المتسللين الذين يحاولون اقتحام شبكتك.

ثلاث أدوات للتعامل مع أقفال حساب Active Directory

تعد عمليات تأمين حساب Active Directory شائعة جدًا ومحبطة لمسؤولي الشبكة لدرجة أن العديد من الأدوات قد تم تصميمها خصيصًا لمعالجة المشكلة. يتم توفير بعضها بواسطة Microsoft بينما يتم توفير البعض الآخر بواسطة جهات خارجية. فيما يلي قائمة بأفضلها:

برنامج حالة تأمين الحساب

هذه مجموعة قياسية من الأدوات التي توفرها Microsoft لإدارة تأمين حساب Active Directory. يتكون من عدد من المكونات الفردية.



سيساعدك كل من هؤلاء على استكشاف جوانب مختلفة من شبكتك:

• يقوم EventCombMT.exe بتجميع الأحداث وتصفية الأحداث من سجلات الأحداث لوحدات التحكم بالمجال. تحتوي هذه الأداة على بحث مدمج عن أقفال الحساب. يقوم بتجميع معرفات الأحداث المرتبطة بأقفال حساب معين في ملف نصي منفصل يمكن بعد ذلك تصديره.
• LockoutStatus.exe , . , .
• Netlogon Netlogon NT LAN Manager (NTLM). Netlogon — . Netlogon NLParse.exe, .
• Acctinfo ADUC ( Active Directory), lastLogon ( ) Password Expires ( ). , ADUC, « ». , .

ADLockouts

إنه برنامج بسيط يحاول تعقب مصدر محاولات كلمة المرور غير الصالحة التي أدت إلى حظر Active Directory.



هذه الأداة رائعة للشبكات الصغيرة ، ولكنها ليست فعالة في البيئات الأكبر. يبحث التطبيق في كل مجال ووحدة تحكم بالمجال عن تسجيل دخول فاشل ، ثم يحلل جميع الأحداث ذات الصلة. الغرض منه هو تحديد سبب الانسداد. بعد ذلك ، يحلل البرنامج كل جهاز ويعرض جميع الحالات النموذجية لأقفال الحساب لعدد من الكائنات: محركات الأقراص المعينة ، والجلسات البعيدة القديمة ، والمهام المجدولة ، والمزيد.

بوويرشيل

بالطبع ، يمكنك اتباع النهج الأكثر مباشرة للتحقيق في سبب قفل حسابات Active Directory واستخدام PowerShell. قد تستغرق هذه العملية وقتًا أطول قليلاً وتكون أكثر تعقيدًا من الأدوات المذكورة أعلاه ، ولكنها ستمنحك أيضًا معلومات أكثر تفصيلاً حول ما يحدث بالضبط على أنظمتك.

باستخدام PowerShell ، يمكنك بسهولة تصفية سجل الأحداث للأحداث الخاصة بالحساب لتحديد مصدر تأمين الحساب:

• يمكن القيام بذلك باستخدام Get-EventLog cmdlet والأمر التالي:
  
  
  
  

  Get-EventLog -LogName Security | ?{{$_.message -like "*locked*USERNAME*"}} | fl -property *
        
        
  
          
          
          
        
  
      
          
          
          
        
        
  
          
          
          
        
  
      
      

  
  
  
• Get-UserLockoutStatus . , , , , .

إذا كنت مسؤول شبكة ، فربما لا تحتاج إلى توضيح مقدار المتاعب التي يمكن أن تواجهها لحظر حسابات Active Directory. مع وضع ذلك في الاعتبار ، من المغري التعامل مع إغلاق الحساب كميزة متكاملة لـ Active Directory وإلغاء تأمين حسابات المستخدمين تلقائيًا بمجرد تلقي طلب دعم.



ومع ذلك ، هذا هو النهج الخاطئ. من خلال قضاء الوقت في التحقيق في الأسباب الجذرية لعمليات إغلاق الحساب ، يمكنك منع حدوثها بشكل متكرر. بالإضافة إلى ذلك ، يمكن أن يكون تغيير سياسات الحظر وسيلة فعالة لتحديد متى يتسبب خطأ المستخدم في الحظر ومتى تسبب هجوم إلكتروني على شبكتك.



في النهاية ، سيحدد فهمك لـ Active Directory مدى فعالية منع وإدارة عمليات تأمين الحساب. إذا كنت تشعر بالإحباط غالبًا بسبب عدم القدرة على تتبع مصدر هذه المشكلات ، فيمكنك استخدام الموارد التي نقدمها. على وجه الخصوص، تحقق من دليل المستخدمين وأجهزة الكمبيوتر في Active Directory والدليل جهدنا ل وسم البيانات الحساسة لتساعدك على أفضل حماية الشبكة من الهجمات الإلكترونية.