Blokowanie konta użytkownika (Event ID 4740)

Zdrzyć się może, że niespodziewanie konto domenowe użytkownika w usłudze Active Directory ulega zablokowaniu. Jeżeli zdaży się to incydentalnie można założyć, że użytkownik po prostu wpisał kilkuktrotnie złe hasło co zgodnie z ustawieniami blokady w polityce GPO: Default Domain Policy pod ścieżką: Windows Settings/Security Settings/Account Policies/Account Lockout Policy zostanie zablokowane po spełnieniu określonych warunków.
Problem pojawia się wówczas kiedy konto użytkonwika jest cyklicznie blokowane. Użytkownik zaczyna mieć problemy z korzystaniem z połączeń VPN, odbiorem poczty e-mail czy dostępem do zasobów sieciowych. Pierwszym krokiem jest odszukanie logów w dzienniku Security na kontrolerach domeny w celu określenia źródła blokady konta użytkownika. Jeżeli w środowisku domenowym jest więcej niż jeden kotroler domeny przydatnym narzędziem jest prosty program LockoutStatus.msi dostępny na stronach Microsoft. Pozwala on na odszukanie kontrolera domeny na którym pojawiły się logi informujące z zablokowaniu danego konta użytkownika. Jeżeli nie skorzystamy z wymienionego programu to należy ręcznie odszukać zdarzenie 4740 (A user account was locked out) w logu Security. Typowymi powodami blokady konta są:

Zmapowane dyski przy użyciu starych poświadczeń: zmapowane dyski można skonfigurować tak, aby używały poświadczeń określonych przez użytkownika do łączenia się z udostępnionym zasobem. Następnie użytkownik może zmienić hasło bez aktualizowania poświadczeń na zmapowanym dysku. Poświadczenia mogą również wygasnąć, co doprowadzi do blokady konta.
Systemy używające starych danych logowania z pamięci podręcznej: niektórzy użytkownicy muszą pracować na wielu komputerach. Dzięki temu użytkownik może być jednocześnie zalogowany na więcej niż jednym komputerze. Te inne komputery mogą mieć aplikacje używające starych, buforowanych poświadczeń, co może skutkować zablokowaniem kont.
Aplikacje korzystające ze starych danych uwierzytelniających: w systemie użytkownika może istnieć kilka aplikacji, które albo buforują dane uwierzytelniające użytkownika, albo jawnie je definiują w swojej konfiguracji. Jeśli poświadczenia użytkownika wygasły i nie zostaną zaktualizowane w aplikacjach, konto zostanie zablokowane.
Usługi Windows korzystające z wygasłych poświadczeń: usługi systemu Windows można skonfigurować tak, aby korzystały z kont określonych przez użytkownika. Są to tak zwane konta usług. Poświadczenia dla tych kont określonych przez użytkownika mogą wygasnąć, a usługi systemu Windows będą nadal korzystać ze starych, wygasłych poświadczeń; co prowadzi do blokady konta.
Zaplanowane zadania: harmonogram zadań systemu Windows wymaga poświadczeń, aby uruchomić zadanie, niezależnie od tego, czy użytkownik jest zalogowany, czy nie. Można tworzyć różne zadania z poświadczeniami określonymi przez użytkownika, które mogą być poświadczeniami domeny. Te poświadczenia określone przez użytkownika mogą wygasnąć, a zadania systemu Windows będą nadal używać starych poświadczeń.

Jeżeli źródłem blokady konta użytkownika jest serwer Exchange z zainstalowaną rolą Client Access Server (CAS) sprawa staje się poważniejsza. Źródłem blokady konta mogą być:

Nieaktualne hasło na urządzeniach mobilnych: laptopy, telefony, tablety i inne urządzenia mobilne mogą być wyposażone z programy klienckie do obsługi poczty e-mail. Ich konfiguracja wymaga podania loginu i hasła użytkownika w celu połączenia z serwerem Exchange. Jeżeli w konfiguracji programu zapisane zostało nieaktualne hasło użytkownika, będzie one źródłem problemu powodując zablokowanie konta użytkownika.
Ataki typu DDOS: serwer pocztowy zasypywany jest próbami połączenia przy użyciu protokołów Pop3, Imap. Osoba atakująca zna adres e-mail skrzynki pocztowej użytkownika, ale nie zna hasła. Seria prób połączenia przy użyciu nieprawidłowego hasła spowoduje zablokowanie konta użytkownika. Pracownik ma problemy z odbiorem poczty przy użyciu programu pocztowego np.: Outlook, zalogowaniem się do komputera i dostępem do zasobów sieciowych wymagających autoryzacji przy użycia konta domenowego użytkownika.

Namierzenie urządzenia mobilnego, posiadającego nieaktualne dane logowania, powodującego blokadę konta użytkownika należy rozpocząć od sprawdzenia jakie urządzenia mobilne, korzystające najczęściej z protokołu ActiveSync, łączyły się z skrzynką pocztową urzytkownika. W tym celu należy skorzystać z cmdletu Powershell Get-MobileDevice wykonanego w konsoli Exchange Management Console. Jeżeli w wynikach znajdą się urządzenia już nieużywane należy je usunąć poleceniem Remove-MobileDevice. Jeżeli po pewnym czasie urządzenie to ponownie połączy się ze skrzynką pocztową użytkownika może to oznaczać, że urządzenie posiada zapisane ustawienia odwołujące się do danej skrzynki. Wśród tych ustawień może być nieaktualne hasło, które powoduje blokadę konta użytkownika.
Pomocą w analizie jest także analiza logów usługi IIS. Plik z logami znajduje się domyślnie w folderze C:\inetpub\logs\LogFiles\W3SVC1. Dla każdego połączenia nawiązanego przez indywidualnego użytkownika lub urządzenie generowany jest odpowiedni wpis w logu IIS na serwerze Exchange z rolą CAS. W celu odszukania wpisów związanych z połączeniem do serwera przez danego użytkownika np. Jan Kowalski, należy ustalić datę kiedy konto zostało zablokowane a następnie w danym logu usługi IIS odszukać linię zawierającą dane login użytkownika. Oto przykłądowy wpis:

2012-01-10 14:42:26 172.32.22.12 POST /Microsoft-Server-ActiveSync/default.easUser=kowalskij&DeviceId=Appl8xxxxx4S&DeviceType=iPhone &Cmd=FolderSync&Log=Prx From:10.123.33.88_Error:BackingOffMailboxServer_ 443 MSA\CAS01$ 10.123.33.88Apple-iPhone3C1/901.405 503 0 0 765

Wpis ten oznacza, że ​​we wskazanym dniu (strefa czasowa pokazana w dzienniku IIS to GMT) do serwera o adresie IP 91.132.22.12 (serwer CAS bez połączenia z internetem) zostało wysłane polecenie POST do katalogu VDir /Microsoft-Server-ActiveSync/ dla użytkownika kowalskij z identyfikatorem urządzenia "Appl8xxxxx4S" z DeviceType iPhone dla FolderSync z innego serwera CAS (zwróconego do Internetu) z ip 10.123.33.88 na porcie 443 z maszyny CAS1 (10.123.33.88) i wystąpił błąd mówiący "Error:BackingOffMailboxServer", a wersja oprogramowania iPhone'a to iPhone4C1/901.405, który konwertuje na iPhone4S z systemem iOS 5.0.1, a kod statusu HTTP to 503 0 0 765. Tutaj kod statusu http jest pokazany w serii 5xx, co oznacza błąd serwera. Jeśli jest w serii 4xx, może to być problem z uwierzytelnianiem.