Việc khóa tài khoản Active Directory có thể là một vấn đề nghiêm trọng đối với các tổ chức. Đã có những trường hợp được ghi nhận về những kẻ tấn công lợi dụng tính năng khóa tài khoản trong một kiểu tấn công từ chối dịch vụ. Bằng cách cố tình nhập nhiều mật khẩu xấu, về lý thuyết, kẻ tấn công có thể khóa tất cả người dùng khỏi tài khoản của họ.
Nhưng bạn sẽ làm gì nếu bạn đang gặp phải sự cố bị khóa tài khoản?
Hệ điều hành Windows có phần hạn chế về khả năng khắc phục sự cố khóa tài khoản, nhưng có một số điều bạn có thể làm. Ví dụ: bạn có thể sử dụng Windows PowerShell để xác định tài khoản nào đã bị khóa. Lệnh để làm như vậy là:
Tìm kiếm-ADAccount -LockedOut -UsersOnly | Select-Object Name, SamAccountName
Ngẫu nhiên, tham số UsersOnly ngăn các đối tượng máy tính được đưa vào kết quả, trong khi lệnh Select-Object lọc danh sách kết quả để chỉ hiển thị tên người dùng và tên tài khoản của họ.
Nếu bạn thấy rằng các tài khoản đã bị khóa, thì có một số cách để mở khóa chúng. Bạn có thể mở khóa từng tài khoản một bằng cách sử dụng lệnh sau:
Mở khóa-Tài khoản ADAccentity
Mặt khác, nếu bạn cần mở khóa hàng loạt tài khoản người dùng, thì bạn có thể làm như vậy bằng lệnh này:
Tìm kiếm-ADAccount –LockedOut | Mở khóa-ADAccount
Mặc dù không thể phủ nhận điều quan trọng là có thể mở khóa tài khoản người dùng, nhưng điều quan trọng không kém là có thể tìm ra lý do tài khoản bị khóa ngay từ đầu. Bạn có thể hiểu thêm một chút về vấn đề bằng cách sử dụng một biến thể của lệnh Tìm kiếm-ADAccount mà bạn đã thấy cách đây ít lâu:
Tìm kiếm-ADAccount -LockedOut | Chọn-Đối tượng *
Lệnh này sẽ hiển thị thông tin bổ sung về tất cả các tài khoản đã bị khóa. Bạn có thể sử dụng thông tin này để tìm hiểu thời điểm người dùng đăng nhập lần cuối và liệu mật khẩu của người dùng có hết hạn hay không. Vì lệnh này có thể trả về nhiều dữ liệu, bạn có thể thấy hữu ích khi ghi kết quả vào tệp CSV. Đây là một ví dụ về cách làm như vậy:
Tìm kiếm-ADAccount -LockedOut | Chọn-Đối tượng * | Export-CSV -Path c: temp lockout.csv
Có thể tiến xa hơn với cách khắc phục sự cố khóa Active Directory bằng các công cụ Windows gốc, nhưng để làm như vậy, bạn sẽ cần thực hiện thay đổi đối với cài đặt chính sách nhóm của mình trước khi khóa máy xảy ra. Thật kỳ lạ, việc khóa tài khoản không được ghi lại theo mặc định.
Bạn có thể bật ghi nhật ký bằng cách mở Group Policy Editor và điều hướng qua cây bảng điều khiển đến Cấu hình máy tính | Cài đặt Windows | Cài đặt bảo mật | Cấu hình chính sách kiểm tra nâng cao | Chính sách kiểm tra hệ thống | Quản lý tài khoản. Bây giờ, hãy bật cả kiểm tra thành công và thất bại để quản lý tài khoản người dùng.
Khi cài đặt chính sách nhóm mới được áp dụng trên toàn miền, nó sẽ khiến sự kiện số 4740 được ghi vào nhật ký sự kiện Bảo mật bất kỳ lúc nào tài khoản bị khóa.
Get-WinEvent -FilterHashtable @ {logname = “Bảo mật”; ID = 4740}
Có một cơ hội tốt là lệnh này sẽ tạo ra một số lượng lớn kết quả. Bạn có thể sử dụng lệnh ghép ngắn Select-Object để giới hạn số lượng kết quả được hiển thị. Ví dụ: nếu bạn chỉ muốn xem mười kết quả gần đây nhất, bạn có thể sử dụng lệnh này:
Get-WinEvent -FilterHashtable @ {logname = “Bảo mật”; ID = 4740} | Select-Object UserID, Message-10 trước
Lưu ý rằng tôi cũng bao gồm các tham chiếu đến UserID và Message trong lệnh ghép ngắn Select-Object. UserID sẽ khiến tên người dùng được hiển thị và tham chiếu đến Message sẽ khiến PowerShell hiển thị thông tin chi tiết về sự kiện. Có lẽ mục hữu ích nhất được hiển thị trong thông báo là Tên máy tính của người gọi, nó phản ánh tên của máy đã khiến tài khoản người dùng bị khóa. Nếu cần, bạn cũng có thể sử dụng thuộc tính TimeCreate để tìm hiểu thời điểm khóa xảy ra.
Lệnh hiển thị ở trên đôi khi có thể cắt bỏ Tin nhắn. Nếu điều này xảy ra với bạn, bạn có thể khắc phục sự cố này bằng cách thêm lệnh Định dạng-Danh sách, như được hiển thị bên dưới:
Get-WinEvent -FilterHashtable @ {logname = “Bảo mật”; ID = 4740} | Chọn-Đối tượng UserID, Tin nhắn-10 trước | Định dạng-Danh sách
Như bạn có thể thấy, Windows bị hạn chế về khả năng giúp bạn khắc phục sự cố khóa tài khoản. Nếu bạn thường xuyên gặp sự cố khóa tài khoản và cần thêm khả năng khắc phục sự cố hoặc nếu bạn, giống như nhiều tổ chức khác, đang gặp phải sự gia tăng các cuộc gọi liên quan đến khóa tài khoản trong đại dịch toàn cầu, thì bạn có thể xem xét kiểm tra một số công cụ của bên thứ ba có sẵn chẳng hạn như một giải pháp đặt lại mật khẩu tự phục vụ.
Xác định điều gì đang dẫn đến khóa máy và khắc phục vấn đề là một phần của phương trình. Để giải quyết vấn đề một cách tổng thể, bộ phận CNTT cần cung cấp cho người dùng khả năng mở khóa tài khoản của chính họ một cách an toàn, mọi lúc, mọi nơi.
