一、通過檢查事件日志中以下的事件來找到鎖定原因：

用戶帳戶已被鎖定。
用戶帳戶已被解鎖。
由于未知的用戶名或錯誤密碼導(dǎo)致賬戶登錄失敗。
密碼策略檢查 API 被調(diào)用。
域控制器試圖驗證帳戶的憑據(jù)。
Kerberos 預(yù)身份驗證失敗。
域策略已更改:帳戶鎖定和密碼策略的更改。

二、單純利用windows系統(tǒng)自帶的工具去分析上述事件是充滿挑戰(zhàn)性的，原因如下：
①事件繁雜
在用戶沒有意識到他們的帳戶因遭受黑客攻擊而被鎖定時，黑客會通過暴力破解的方式進入用戶的網(wǎng)絡(luò)。由于事件的繁雜外加用戶可能會登錄到多臺計算機、服務(wù)或者通過遠程連接，使得IT管理員或服務(wù)臺技術(shù)員很難在短時間內(nèi)找出帳戶鎖定原因。
②缺乏足夠的儲存空間
Windows事件查看器的存儲限制是4GB，因此分析和調(diào)查所需的日志可能早已不存在，也有可能會在調(diào)查過程中被覆蓋，這會使得IT管理員或服務(wù)臺技術(shù)員無法確定鎖定的原因。他們通常所能做的只是為用戶重置密碼，檢查每個組件，直到他們找到對應(yīng)的組件。由于沒有足夠的登錄事件來進行分析, IT管理員或者服務(wù)臺技術(shù)員很難有效地找到賬戶真正被鎖定的原因。
簡單地說，Windows自帶的工具不具備快速有效解決帳戶鎖定的能力。

三、是什么簡化了賬戶鎖定分析？
卓豪的ADAudit Plus產(chǎn)品提供專門的帳戶鎖定分析方案。通過持續(xù)監(jiān)控和實時日志收集，為IT管理員或服務(wù)臺技術(shù)員提供清晰可見的報表，提供分析帳戶鎖定所需的所有必要數(shù)據(jù)。
①這些必要的數(shù)據(jù)包括：

每個鎖定實例的人員、時間、地點和原因的報表。這些報表是實時收集的 ， 可以導(dǎo)出為 CSV、PDF、XML 和 HTML 格式。只需點擊一下鼠標，就可以調(diào)出在指定時間范圍內(nèi)發(fā)生的每次鎖定事件的完整細節(jié)。

使用用戶憑據(jù)的所有服務(wù)和窗口組件的詳細信息。這樣，任何發(fā)生過的賬號鎖定原因都可以在幾秒鐘內(nèi)被發(fā)現(xiàn)。
用戶最近的登錄歷史記錄，這對于破譯帳戶鎖定的原因非常有用。通過分析用戶的登錄歷史，IT管理員和服務(wù)臺技術(shù)員可以了解可疑登錄情況下存在的潛在威脅。

當特權(quán)用戶被鎖定或鎖定數(shù)量過高時，ADAudit Plus會發(fā)出即時警報。這些警報也可以直接以電子郵件或短信方式發(fā)送到IT管理員或服務(wù)臺技術(shù)員。
②為幫助管理員和技術(shù)人員更好地了解其域中的帳戶鎖定狀態(tài)，ADAudit Plus 提供了大量預(yù)置報表，這些報表包括：
最近被鎖定的用戶
頻繁鎖定的用戶
最近解鎖的用戶
頻繁解鎖的用戶
所有這些報表都列出了被鎖定的用戶帳戶以及關(guān)鍵的詳細信息，如被鎖定的時間和相關(guān)域控制器。這些報表幫助IT管理員跟蹤并密切關(guān)注經(jīng)常被鎖定的用戶帳戶。如果IT管理員或服務(wù)臺技術(shù)員需要找出哪個用戶帳戶可能存在攻擊行為，他們可以通過檢查最近被鎖定的用戶來判斷。ADAudit Plus 的用戶行為分析通過使用動態(tài)閾值來發(fā)現(xiàn)用戶登錄活動的可疑數(shù)量以及持續(xù)時間。

卓豪的ADAudit Plus 是一款I(lǐng)T 安全及合規(guī)的解決方案。它提供了有關(guān)對 Active Directory、Azure AD 和 Windows 服務(wù)器的200 多個特定事件的報告和實時電子郵件告警。此外，它還提供全面的智能訪問工作站和文件服務(wù)器，如NetApp 和EMC等。