AD賬號(hào)鎖定逆向查詢(xún)

最近不知道咋了，好多客戶(hù)的AD賬號(hào)經(jīng)常被鎖，而且近期我在51CTO的論壇內(nèi)也發(fā)現(xiàn)有朋友在問(wèn)，AD賬號(hào)被鎖定了，可以查到在哪個(gè)IP，或哪個(gè)客戶(hù)端鎖定的嗎。

?

其實(shí)微軟在早期發(fā)布過(guò)一款工具，這款工具是可以查到在哪個(gè)域控上鎖定的，然后通過(guò)日志大致可以定位到鎖定的客戶(hù)端，這款工具叫做：Lockoutstatus

Lockoutstatus下載地址：https://www.microsoft.com/en-us/download/details.aspx?id=15201

?

• 今天簡(jiǎn)單給大家介紹下如何利用這款工具逆向追蹤到鎖定的客戶(hù)端的。廢話(huà)不多說(shuō)，首先我們下載Lockoutstatus，并拷貝到任意一臺(tái)域控服務(wù)器上，安裝我就不過(guò)多介紹了，其實(shí)就是一路下一步，但需要大家記住的是下面這個(gè)截圖，也就是您的安裝路徑，因?yàn)橐粫?huì)安裝完成后需要到這個(gè)路徑下找到安裝完成的應(yīng)用程序，程序自身不會(huì)創(chuàng)建快捷方式。

• 安裝完成后大家可以手動(dòng)創(chuàng)建一個(gè)快捷方式。

• 為了演示，我隨便使一個(gè)賬號(hào)鎖定，如圖所示：

• 那么接下來(lái)，我們雙擊剛才安裝完成那個(gè)軟件，如圖所示：

• 點(diǎn)擊文件選項(xiàng)File，選擇目標(biāo)Select Target

• 在目標(biāo)用戶(hù)名列寫(xiě)出需要查詢(xún)的域賬號(hào)（被鎖賬號(hào)），點(diǎn)擊OK

• 掃描完成后，你可以找到很多賬號(hào)鎖定信息，包括DC名，站點(diǎn)，賬號(hào)狀態(tài)，錯(cuò)誤密碼計(jì)數(shù)器，和最后一次錯(cuò)誤密碼時(shí)間。（由于我這是測(cè)試環(huán)境，只有一臺(tái)AD，真實(shí)環(huán)境會(huì)有很多，一定要找那個(gè)最后一次錯(cuò)誤密碼時(shí)間）

• 找尋到最后一條錯(cuò)誤時(shí)間記錄，并找到相應(yīng)的DC名，登錄到這臺(tái)域控。

• 登錄后打開(kāi)事件查看器，選擇安全日志（如果時(shí)間長(zhǎng)了的話(huà)，可以找日志備份）

• 如果日志太多，可以使用篩選功能進(jìn)行查找。

• 根據(jù)剛才工具提示，我的測(cè)試賬號(hào)是在13:22:10鎖定的，所以我就找這個(gè)時(shí)間的日志。

• 我們可以清楚的看到，我的賬號(hào)是在EXSRV01這臺(tái)計(jì)算機(jī)上鎖定的。
  

• 其實(shí)到這里還算結(jié)束，其實(shí)我們是可以看到最后一次登錄這臺(tái)（EXSRV01）電腦的用戶(hù)是誰(shuí)。

• 用管理員權(quán)限打開(kāi)Power Shell,然后輸入一下命令來(lái)查詢(xún)是哪個(gè)賬戶(hù)在登錄當(dāng)前這臺(tái)終端機(jī)。

get-wmiobject -computername 計(jì)算機(jī)名稱(chēng) win32_computersystem | format-list username

• 系統(tǒng)最終查詢(xún)出的賬號(hào)是 ITSoul\Administrator

• 也就是說(shuō)，目前這臺(tái)名為EXSRV01的客戶(hù)機(jī)是域用戶(hù)Administrator正在使用。

親們剩下的就是你們可以指著用戶(hù)的鼻子質(zhì)問(wèn)他了。