直ぐにドメインアカウントがロックされるーデバイスを特定する

アカウントが勝手にロックされてしまう場合、どのデバイスから間違ったパスワードでアクセスされているかを探す方法

 

本人が間違えたパスワードを入力してロックされた以外の主な原因は次の3つです。

  1. ブラウザ、OS(資格情報、ネットワークドライブ等)が古いまたは、間違えたパスワードを保持している
  2. スマートフォンやタブレットが古いまたは間違えたパスワードを保持している
  3. ウイルス等のアプリが、ランダムなパスワードで認証接続を試している

下記のステップを試す前に、先ずは全てのデバイスに保存されているパスワードを削除して、再発するか確認してください。

OSやモバイルデバイスによっては、パスワードが間違って認証がはじかれても、3~5回繰り返すことがあり、ロック回数の閾値が小さいと直ぐにロックされます。

  • IEに保存されているパスワードを削除する
  • WindowsOSに保存されている資格情報を削除
  • MacOS上の資格情報を削除
  • モバイル端末上の資格情報を削除

IEに保存されているパスワードを削除する

1. インターネットオプションを開きます。

2. [コンテンツ]タブをクリックして、オートコンプリート設定を開きます。

LockoutStatus-IE-AutoComplete1

3. オートコンプリート履歴の削除をクリックします。

LockoutStatus-IE-AutoComplete2

4. パスワードにチェックを入れて、削除をクリックします。

LockoutStatus-IE-AutoComplete3

WindowsOSに保存されている資格情報を削除

  1. コントロールパネルから、「資格情報マネージャー」を開きます。Credential_Manager1
  2. 該当する資格情報があれば削除します。

Credential_Manager2

  1. アプリケーションからユーティリティを開きます。
  2. キーチェインを開きます。
  3. パスワードの項目を選択し、該当しそうな資格情報を全て削除します。

端末によりことなりますが、確認・削除ポイントは、メールの設定、WiFiの接続情報の設定等になります。

資格情報を削除したが、引き続き発生する場合は次の方法でどのデバイスが該当するか調べます。

Microsoftから提供されているALTools[Account Lockout and Management Tools]を使用します。

  • 1. ALToolsのインストール
  • 2. アカウントロックが記録されたDCと日時を調べる

1. ALToolsのインストール

注意:サーバーでインストール、実行しないよう書かれていますのでご注意ください。

※システム要件には含まれていませんが、Windows7 64bitで動作確認しましたが、インストールと実行は自己責任でお願いいたします。

1.ALToolsをダウンロード(http://www.microsoft.com/en-us/download/details.aspx?id=18465)

2.ALTools.exeを実行

ALTools

3.解凍先を選択(フォルダを作成して、解凍することをお勧めします。)

ALTools2

4.以下のファイルが解凍されます。

  • acctinfo.dll(ADツールにアカウントの追加情報を表示)
  • Alockout.zip
  • AlockoutXP.zip
  • aloinfo.exe(全てのユーザーのパスワード有効期限を調べるコマンド)
  • EnableKerbLog.vbs
  • eventcombmt.chm
  • eventcombMT.exe(イベントログに記録されているログをテキストに抽出してくれる)
  • LockoutStatus.exe(アカウントの状態(間違えたパスワードの日時、パスワードの変更日など))
  • nlparse.exe

5.AlockoutXP.zipをさらに解凍

ALTools-install1

6.ALockout.dllを%Systemroot%\System32へコピーする

ALTools-install3 7.Appinit.regファイルを実行して、ALockout.dllファイルに関してレジストリを更新し、再起動します。

以下のレジストリが書き換えられます。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] “AppInit_DLLs”=”alockout.dll”

2. アカウントロックが記録されたDCと日時を調べる

  1. LockoutStatus.exeを実行

LockoutStatus0

2. Fileメニューから、「Select Target」を選択

LockoutStatus00

3. 検索したいユーザーネームとドメインを入力して、OKをクリックすると、自動でアカウントの状態が検索されます。

LockoutStatus01

検索結果より次の項目をメモします。

  1. Orig Lock-どのDCでロックしたか。このDCが後にイベントログを検索する対象となります
  2. Pwd Last Set-パスワードを設定(リセット)した時間
  3. Last Bad Pwd-最後にパスワードを間違えた時間

2~3の時間が、ログをフィルタする目安時間になります。

LockoutStatus1

上記で取得した情報から、ロックしたDC上のイベントログを調べます。DCのセキュリティのイベントログには、アカウントログオンイベントが記録されており、その中には「ユーザー名」と、「アクセスしたIPアドレス」が記録されています。イベントログを検索後、IPアドレスから端末を特定します。

※予めDCにアカウントログオンの監査ポリシーが設定されていることが前提です。

調べる方法は、2つあります。

検索対象が1名の場合はイベントログをフィルタして検索する方が早いです。複数名を一度に調べたい場合は、2番目の方法をお試しください。

  • 1. イベントログをフィルタして、検索
  • 2. EventCombMTを使用して、該当するログを抽出して調査

1.イベントビューアーをPC上で開きます。

2.イベントビューアーを右クリックして、「別のコンピューターへ接続」を選び、DCに接続します。

Find_Filter2

3.接続後、セキュリティを選択して、「現在のログをフィルター」を選択

Find_Filter

4.先ほどメモした日時を元にログの日付を指定

  • ログの日付:ユー設定の範囲を選択
  • イベントID 4771を指定(複数指定可能)

サーバーのOSバージョンによりイベントIDが異なります。(Windows Server2008より前はIDが529になります。)

Account_Lock1

フィルター後に、ユーザー名で検索し、エラーコードが「0x18」に該当する項目を探て、IPアドレスを特定します。

エラーコード「0x18」と「0x12」について

エラーコード「0x18」:有効なアカウントに対して、間違えたパスワードで認証された場合に記録される

エラーコード「0x12」:アカウントがロックされているために、認証が失敗された場合に記録される

LockoutStatus3

特定したIPアドレスから、コマンドプロンプト等でHost Nameを特定できます。

eventcombMT.exeを実行

EventCombMT0

※必ず管理者とし実行してください。セキュリティログがグレーアウトされてしまいます。

Select To Search/Right Click To Add」の欄で右クリックして、「Get DCs in Domain」を選択

各項目に入力して、OKを押します。

EventCombMT3

リストが表示されますので、アカウントがロックされたドメインコントローラーを選択

Security にチェックを入れます

Failure Auditにチェックを入れます

Event IDsには4771を入力(サーバーOSのバージョンが2008以前はIDが529になります。

Searchをクリックして実行します。

EventCombMT4

結果はC:\tempにテキスト形式で出力されます。

出力されたテキストをエクセルに読込んで、調査します。

Result_Sample_ADLock