通过

组策略中安全设置被自动修改成未配置

匿名
2024-04-19T01:54:19+00:00

Windows server 2016系统,两台AD环境,有EX。

事件过程:

1.某EX用户突发向域内用户发送大量垃圾邮件,检查后发现该账户密码较简单。

2.登录组策略管理,检查Default Domain Policy-计算机配置-Windows设置-安全设置-账户策略\密码策略-密码必须符合复杂性要求,发现配置为[已禁用]

3.直接修改[已禁用]为[已启用]。

4.第二天登录组策略管理,发现该配置又变成[已禁用].

故障复现

1.我们在一个整点时间修改Default Domain Policy中密码必须符合复杂性要求为已启用,并查看该策略详细信息中修改时间,并记录。

2.登录到另外一台DC上查看Default Domain Policy,发现修改日期已经与第一台DC同步。

3.持续观察何时策略会发生变动。

以下是测试结果:

在adsprdapp02上:

1.今日9点12分我们修改了这个选项,等待30分钟检验结果。

2.在9点25分,组策略详细设置中,修改时间发生变化。相隔13分钟。

3.在10点11分再次修改了组策略,并打开了对应配置文件处于打开状态,客户反馈在10点55分发生了变化。相隔44分钟。

4.检查adsprdapp02相关日志、计划任务暂未见对应时间相关日志。

在adsprdapp01上:

1.下午远程检查AD相应配置,在adsprdapp01上,检查相关日志、计划任务暂未见异常。

2.只修改“密码必须符合复杂性要求”在不特定时间就会被改为已禁用。而修改“账户锁定阈值”数值,原500次,改为501次后依旧保持不变。

3.进行手动修改GPTteml.inf,字段:passwordcomplexity=1,lockoutbadcount=444,修改时间2024/4/18 15:28

4.因远程问题,上次修改间隔还未远程查看结果。

初步判断:毫无规律的修改间隔人工操作可能行较大,有没有办法可以审核gpo相关日志,便于查询定位哪一个账户在组策略管理中做了对应操作。

Windows 商业版 | Windows Server | 目录服务 | 部署组策略对象

锁定的问题。 此问题已从 Microsoft 支持社区迁移。 你可投票决定它是否有用,但不能添加评论或回复,也不能关注问题。 为了保护隐私,对于已迁移的问题,用户个人资料是匿名的。

0 个注释

1 个答案

排序依据: 非常有帮助
非常有帮助 最新 最早
  1. 匿名
    2024-04-19T07:52:04+00:00

    尊敬的客户,您好!

    感谢您在Microsoft论坛发帖。

    您可以尝试开启下面的审核策略(分两个步骤)

    步骤1

    提示:下面的策略,即使是“未配置”状态,默认也是审核“成功”的操作,您可以检查下,可以不用操作。

    编辑默认的域控制器,开启下面的传统审核策略。

    Computer Configuration\Windows settings\security settings\local policies\audit policy\Audit policy change

    或者使用高级审核策略(默认情况下,高级审核策略将覆盖所有旧审核策略):

    计算机配置Windows 设置安全设置高级审核策略配置

    Configuration\Windows settings\security settings\Advanced Audit Policy Configuration\Audit Policies\Policy Change\Audit Audit policy Change)

    点击默认的域策略,

    点击右边的Delegation标签,

    点击右下角的Advanced按钮,

    点击高级Security Settings,

    然后Auditing标签,

    点击“Add”按钮,

    Principal: Everyone

    Type: Success
    Applies to: This object only
    Permissions: Full control

    设置好以后,等待问题复现,检查域控上的安全日志,是否有相关的时间生成。

    提示:建议您最好在一个简单的测试环境中(单林单域单域控就可以测试了)手动测试以后,再在生产环境中设置。

    希望上述的回复对您有帮助。

    如有任何疑问,欢迎您随时咨询我们。

    Best Regards,
    Daisy Zhou

    0 个注释