查找 Active Directory 中的错误密码尝试

在本指南中，我将向您展示如何在 Active Directory 中查找密码尝试错误的用户。

在 Active Directory 中检查错误密码尝试的原因：

• 识别对用户帐户的密码喷射尝试或暴力攻击。
• 排查并解决用户帐户锁定问题。
• 生成 Active Directory 报告以进行审核和安全评估。

当 AD 用户帐户尝试使用错误密码进行身份验证时，它会将时间存储在属性 badPasswordTime 中。它还会增加 badPwdCount 属性值。您可以通过单击“属性编辑器”来查看这些值。

员工总是输入错误的密码，这不用担心。但看到大量员工在短时间内尝试输入错误的密码，令人担忧。这可能意味着黑客正在使用暴力攻击来尝试猜测用户密码。配置正确的密码策略和帐户锁定策略以减轻暴力攻击至关重要。

现在让我们看看一些方法来查看和自动查找网络中的错误密码尝试。

使用 PowerShell 检查错误密码尝试

使用以下命令通过 PowerShell 获取上次错误密码尝试和错误密码计数值。

get-aduser -Identity robert.allen -Properties * | select name, badPwdCount, LastBadPasswordAttempt

在上面的屏幕截图中，您可以看到帐户 robert.allen 的错误密码计数为 3，最后一次错误密码尝试是在 2023 年 3 月 7 日上午 9:51。

要获取用户最近尝试的所有错误密码，请使用以下命令。

get-aduser -filter * -Properties * | select name, badPwdCount, LastBadPasswordAttempt

检查过去 1 天内是否有错误密码尝试

AD Pro Toolkit 有多个内置密码状态报告。您可以获得过去 1、7 或 30 天内密码错误尝试的报告。

您可以在此处下载免费试用版。

点击报告 -> 密码状态 -> 过去 1 天内尝试输入错误密码

在上面的屏幕截图中，您可以看到有 5 个帐户在过去 1 天内尝试过错误的密码。

我可以通过单击列并添加 badPwdCount 属性来包含错误密码计数。

现在，当我重新运行报告时，它将包括错误密码计数。

此报告对于审核可疑的登录尝试活动非常有用。

如果您看到大量用户尝试错误密码且 badPwdCount 不断增加，则需要对此进行调查。

自动生成错误密码尝试报告

每天手动检查错误的密码尝试效率很低。最好自动生成此报告，以防您忘记，而且还可以节省您的时间。

要自动生成此报告，您可以使用任务计划程序将每日、每周或每月的报告通过电子邮件发送给您。

单击“计划程序”，然后单击“添加”按钮。

选择报告

输入任务名称。例如，错误的密码尝试。

对于凭据，请单击“设置”并输入您的帐户详细信息。

点击下一步。

设定时间表。从每日、每周或每月中进行选择。

在此示例中，我将其设置为每天上午 7:00 运行。

在类别的最后一个屏幕上，选择用户 -> 密码状态

然后选择您想要自动化的报告。在此示例中，我将选择“过去 1 天内尝试密码错误”。

接下来，选择路径。您可以从整个域中进行选择，也可以选择一个 OU 或组。

对于输出，输入电子邮件主题。

单击“完成”。

这就完成了创建自动报告的步骤。现在，您将根据您选择的时间表收到一封电子邮件，其中包含 CSV 报告。

在本文中，我向您展示了两个选项来检查尝试密码错误的用户。当用户输入错误的密码时，错误密码时间将存储在 Active Directory 属性中。您可以使用PowerShell轻松获取错误密码的时间和计数。我还向您展示了如何使用 AD Pro Toolkit 自动生成错误密码报告。该工具包包括 200 多个针对用户、计算机、组和组策略的内置 AD 报告。单击下面的按钮下载 AD Pro 工具包的免费试用版。