Nachdem alle gespeicherten Kennwörter gelöscht oder überarbeitet wurden, der User sich aber noch immer aussperrt, gilt es herauszufinden, von welcher Maschine dieser Lockout ausgelöst wird.
Dazu ist es wichtig zu verstehen, dass jede Anmeldung über den Logonserver durchgeführt wird. Kann dieser die Credentials nicht bestätigen, wird die Anmeldung über den PDC-Emulator versucht. Und genau hier ist der Punkt an dem man ansetzen kann.
Wird ein Account gelockt, dann wird dies im EventLog des PDC-Emulators festgehalten. Ein solcher Eintrag sieht so aus:
Event Type: Success Audit
Event Source: Security
Event Category: Account Management
Event ID: 644
Date: 17.04.2008
Time: 13:23:43
User: NT AUTHORITY\SYSTEM
Computer: <PDC-Emulator>
Description:
User Account Locked Out:
Target Account Name: <Username>
Target Account ID: <Domain>\<Username>
Caller Machine Name: <Machinename>
Caller User Name: <PDC-Emulator>
Caller Domain: <Domain>
Caller Logon ID: (0×0,0×3E7)
Interessant ist hier der Account der gelockt wurde (Target Account ID) und die Maschine (Caller Machine Name) von der aus die falschen Anmeldeinformationen übermittelt wurden. Handelt es sich bei ‚Caller Machine Name’ nicht um die Maschine wo der User derzeit angemeldet ist, könnte es sich um einen Angriff handeln (DoS). Aber oft ist es nur ein Kollege, der noch nicht das neue Passwort bekommen hat.
to be continued…
