Active Directory quali pc bloccano le utenze

Se nella vostra rete aziendale circola il simpativo virus WORM_DOWNAD.AD – Conficker.D / Conflicker.B vi sarete accorti che molti account di sistema risultano bloccati e che alcuni pc, quelli infetti, aprono mille connessioni tcp versi alte macchine.. Per risolvere il problema degli account bloccati e per capire quali pc bloccano gli account di active directory si può utilizzare questo semplice metodo che sto per descrivervi che serve appunto per capire da quali pc partono le richieste che lockano gli account.. con una query di AD e un tool piccolino si risolve tutto..

Allora la procedura è molto semplice, la prima cosa da fare è quella di individuare gli account bloccati, per farlo basta scrivere una semplice query in active directory,
La query che visualizza gli account bloccati è questa:

(&(&(&(objectCategory=person)(objectClass=user)(lockoutTime:1.2.840.113556.1.4.804:=4294967295)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))))

Và inserita in Strumenti di amministrazione-> Active Directory Users and Computers
Và messa nelle custum querys..

Poi una volta individuate le utenze bloccate se ne sceglie una e tramite il tool LockoutStatus di microsoft si vede su quale domain controller l’utenza è bloccata.
Si apre quindi l’event view del domain controller nel quale l’utenza risulta bloccata e sotto protezione si cerca l’evento 644, nei log con event id 644 è scritto da quale macchina è partita la richiesta che ha bloccato l’account.

Tutto molto semplice direi.. ovviamente questo metodo non è specifico per il virus Conficker ma l’ho scoperto e testato proprio per colpa di questo maledetto Conflicker..

Potete utilizzare questa procedura per individuare macchine o servizi che girano sui pc che bloccano gli account..

Per quanto riguarda il virus Conficker.B vi rimando a questo link che è molto esaustivo:
Supporto Tecnico Enterprise Microsoft

Vota l'articolo