【51CTO专稿】最近,公司部分用户反映在使用公司相关微软系统(包括Microsoft Share Point 2010、Microsoft Outlook 2010、Lync)时会不定期出现弹出密码框且无法登陆的问题(如图1)。在正常情况下,用户只需要登录系统后,不需要再次输入用户名和密码就能访问这些基于AD的应用系统。
一、现象分析
通过抓包分析,并结合采用微软提供的LockoutStatus工具,我们发现此问题是由于相关域帐号在与用户PC(或服务器)无关的机器上发起了多次失败的登陆,造成这些账户在域中被锁定而导致的(根据公司AD(Active Directory,活动目录)安全策略,连续5次密码登录失败,AD帐号会被锁定5-10分钟,这个根据AD策略设置会有所不同,如图2)。
图1
图2
二、原因分析
通过病毒扫描判定帐号被锁定是由“W32.Downadup.B”病毒引起。经分析,W32.Downadup.B可利用Microsoft Windows服务器服务RPC(Remote Procedure Call,远程过程调用)的远程代码执行漏洞进行传播,或使用密码字典猜测用户的密码,连接用弱密码保护的网络共享进行感染。病毒可能造成如下问题:
(1)阻止受感染的计算机访问某些网站(如安全更新网站),从而无法清除病毒威胁;
(2)由于病毒自动使用密码尝试使用局域网资源,导致部分AD帐户非正常锁定。
三、病毒防范方法
防范W32.Downadup.B病毒需要安装微软官方补丁MS08-067,详见:http://www.microsoft.com/security/pc-security/conficker.aspx。并结合使用***的病毒库对所有服务器已经进行全面扫描。发现有帐号锁定的情况,马上通知IT的管理员进行帐号解锁,来避免由此造成的问题。
作者简介:李洋,博士毕业于中科院计算所。10多年来一直从事计算机网络信息安全研发工作,曾主持和参与多项国家重点项目以及信息安全系统和企业信息安全系统的研发工作。具有Linux系统应用、管理、安全及内核的研发经验,擅长网络安全技术、协议分析、Linux系统安全技术、Linux系统及网络管理、Linux内核开发等。
