2个礼拜前的今天,我在外面上HOL,结果我的同事打电话跟我说单位的很多用户反映,他们的帐号都被锁了,本来AD里面锁帐号的是3次错误输入就锁,一般偶尔有用户反映帐号被锁,但是大规模被锁,我觉得肯定有问题了。
回来后,看了一下Log,675的很多,就是说在猜测密码,我怀疑有黑客攻击,然后把主要报错的网段的光纤给拔掉,于是乎675的日志全部没有,而且帐号自动解锁,这很有可能就是蠕虫了。
上网搜了一下,果然有类似蠕虫—-Downadup,这个蠕虫有个更好听的名字叫—Conficker
微软昨天也发布了关于这个蠕虫的专题页面
http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx
知道了原因,接下来要做的很简单,交给各个部门的网管员:
1.打上最新的补丁,不准漏网
2.用Symantec的专杀,昨天Symantec的工程师通知我Release了一个新的版本
http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99
3.把企业客户端的Symantec SAV都更新到最新版本,也不准有漏网,其实平时都是自动更新的,但是部分客户端还是有问题
4.把360安全卫士的U盘自动保护给打开
现在蠕虫基本得到控制。
然后,我想到了关于AD帐号锁定有一个白皮书,我一直搁着没看过,下载地址:
http://www.microsoft.com/downloads/details.aspx?FamilyID=8C8E0D90-A13B-4977-A4FC-3E2B67E3748E&displaylang=en
其中介绍了各种错误日志,并且在最后推荐了几个微软的小工具,用于AD帐号锁定排错
我自己总结了一下:
首先在组策略里面开启审核:Account Logon Events,如果需要DC上查看,就要编辑DC的策略