Debug autenticazione su Active Directory

Recentemente abbiamo dovuto analizzare i log di sicurezza dell’Active Directory di un cliente per scoprire l’origine di un ripetuto tentativo di accesso. Era in corso da qualche giorno un attacco sfruttando un dizionario di login e password. Questo tipo di attacco prevede che un BOT provi in continuazione ad autenticarsi su un servizio pubblico (es. la posta elettronica) con credenziali generiche (es. admin/admin) prelevate da un dizionario precostituito.

Con sorpresa abbiamo visto che per qualche motivo il registro eventi di Windows non mostrava né la workstation di origine dell’accesso fallito, né l’indirizzo IP. In una rete con oltre 200 dispositivi, più gli accessi esterni, è un problema andare per tentativi.

Dopo tante ricerche su Google ho trovato un comando per attivare il debug del processo di autenticazione dell’Active Directory.

Questo attiva il debug:

Nella cartella “C:\Windows\debug” viene prodotto un file dettagliato (molto più approfondito del registro di sistema) di tutti gli eventi di autenticazione. Questo file si chiama “NETLOGON.LOG”

Il file contiene tutte le informazioni utili per individuare la sorgente degli accessi e diagnosticare il problema.

Una volta terminato, si può disabilitare il debug:

 

Chiama subito per maggiori informazioni +39 0113473770
oppure lasciaci i tuoi recapiti e sarai contattato il prima possibile:



 

Lascia un commento