<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
    <channel>
        <title>域控 on Zero Day Notes</title>
        <link>https://blog.5772447.xyz/tags/%E5%9F%9F%E6%8E%A7/</link>
        <description>Recent content in 域控 on Zero Day Notes</description>
        <generator>Hugo -- gohugo.io</generator>
        <language>zh</language>
        <lastBuildDate>Mon, 16 Jan 2023 09:00:00 +0000</lastBuildDate><atom:link href="https://blog.5772447.xyz/tags/%E5%9F%9F%E6%8E%A7/index.xml" rel="self" type="application/rss+xml" /><item>
            <title>记一次 Windows 域账号批量锁定事件的排查</title>
            <link>https://blog.5772447.xyz/posts/ecb32d7f/</link>
            <pubDate>Mon, 16 Jan 2023 20:56:36 +0000</pubDate>
            <guid>https://blog.5772447.xyz/posts/ecb32d7f/</guid>
            <description>&lt;h2 id=&#34;问题背景&#34;&gt;&lt;a href=&#34;#%e9%97%ae%e9%a2%98%e8%83%8c%e6%99%af&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;问题背景&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;某周一早上 8:30 至 9:15 之间，IT 服务台接到大量来电和工单，反映内容相同：&lt;strong&gt;员工账号无法登录 Windows 域，提示&amp;quot;账户已被锁定&amp;quot;&lt;/strong&gt;。涉及人数约 45 人，分布在公司多个部门。&lt;/p&gt;&#xA;&lt;p&gt;AD 域账号锁定策略配置为：5 次错误尝试后锁定，锁定时长 30 分钟。&lt;/p&gt;&#xA;&lt;p&gt;从工单创建时间来看，锁定事件集中在 8:35 - 8:50 之间。帮助台手工解锁账号后，部分用户反映十几分钟内又被锁定，说明有某个程序或设备在持续使用旧密码尝试认证。&lt;/p&gt;&#xA;&lt;hr&gt;&#xA;&lt;h2 id=&#34;故障现象&#34;&gt;&lt;a href=&#34;#%e6%95%85%e9%9a%9c%e7%8e%b0%e8%b1%a1&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;故障现象&#xD;&#xA;&lt;/h2&gt;&lt;ul&gt;&#xA;&lt;li&gt;45 名员工账号显示&amp;quot;已锁定&amp;quot;&lt;/li&gt;&#xA;&lt;li&gt;解锁后部分账号再次被锁定（约 15-20 分钟后）&lt;/li&gt;&#xA;&lt;li&gt;锁定发生时间集中（8:35-8:50），与员工上班开机时间吻合&lt;/li&gt;&#xA;&lt;li&gt;域控服务器安全事件日志中出现大量 Event ID 4740（账号锁定事件）&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;hr&gt;&#xA;&lt;h2 id=&#34;排查过程&#34;&gt;&lt;a href=&#34;#%e6%8e%92%e6%9f%a5%e8%bf%87%e7%a8%8b&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;排查过程&#xD;&#xA;&lt;/h2&gt;&lt;h3 id=&#34;第一步查看域控安全日志&#34;&gt;&lt;a href=&#34;#%e7%ac%ac%e4%b8%80%e6%ad%a5%e6%9f%a5%e7%9c%8b%e5%9f%9f%e6%8e%a7%e5%ae%89%e5%85%a8%e6%97%a5%e5%bf%97&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;第一步：查看域控安全日志&#xD;&#xA;&lt;/h3&gt;&lt;p&gt;登录主域控服务器，打开事件查看器 → Windows 日志 → 安全，筛选 Event ID 4740：&lt;/p&gt;&#xA;&lt;p&gt;关键字段：&lt;/p&gt;&#xA;&lt;ul&gt;&#xA;&lt;li&gt;&lt;strong&gt;Subject（主体）&lt;/strong&gt;：域控 PDC（DC01）&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;Account Name（被锁定账号）&lt;/strong&gt;：各被锁定用户的 sAMAccountName&lt;/li&gt;&#xA;&lt;li&gt;&lt;strong&gt;Caller Computer Name（触发锁定的机器）&lt;/strong&gt;：&lt;strong&gt;APP-SRV-01&lt;/strong&gt;&lt;/li&gt;&#xA;&lt;/ul&gt;&#xA;&lt;p&gt;所有 45 个账号的锁定来源都指向同一台机器：&lt;code&gt;APP-SRV-01&lt;/code&gt;。&lt;/p&gt;&#xA;&lt;h3 id=&#34;第二步使用-microsoft-lockout-status-工具确认&#34;&gt;&lt;a href=&#34;#%e7%ac%ac%e4%ba%8c%e6%ad%a5%e4%bd%bf%e7%94%a8-microsoft-lockout-status-%e5%b7%a5%e5%85%b7%e7%a1%ae%e8%ae%a4&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;第二步：使用 Microsoft Lockout Status 工具确认&#xD;&#xA;&lt;/h3&gt;&lt;p&gt;下载并使用微软官方工具 &lt;code&gt;LockoutStatus.exe&lt;/code&gt; 查看账号锁定详情，可以看到锁定时间和来源 DC，进一步确认了锁定源为 &lt;code&gt;APP-SRV-01&lt;/code&gt;。&lt;/p&gt;&#xA;&lt;h3 id=&#34;第三步排查-app-srv-01-上的认证行为&#34;&gt;&lt;a href=&#34;#%e7%ac%ac%e4%b8%89%e6%ad%a5%e6%8e%92%e6%9f%a5-app-srv-01-%e4%b8%8a%e7%9a%84%e8%ae%a4%e8%af%81%e8%a1%8c%e4%b8%ba&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;第三步：排查 APP-SRV-01 上的认证行为&#xD;&#xA;&lt;/h3&gt;&lt;p&gt;远程登录 &lt;code&gt;APP-SRV-01&lt;/code&gt;（Windows Server 2019），查看安全日志中的 Event ID 4776（NTLM 认证失败）和 4625（登录失败）：&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;2&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-fallback&#34; data-lang=&#34;fallback&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;筛选条件：事件 ID = 4625，失败原因 = 用户名或密码不正确&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;时间范围：08:00 - 09:00&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;p&gt;发现从 8:33 开始，有一个账号（&lt;code&gt;svc-erp&lt;/code&gt;，服务账号）每隔约 2-3 秒就发起一次 NTLM 认证，均以失败告终，失败原因为&amp;quot;密码不正确&amp;quot;。&lt;/p&gt;&#xA;&lt;h3 id=&#34;第四步为什么-svc-erp-的认证失败会锁定其他账号&#34;&gt;&lt;a href=&#34;#%e7%ac%ac%e5%9b%9b%e6%ad%a5%e4%b8%ba%e4%bb%80%e4%b9%88-svc-erp-%e7%9a%84%e8%ae%a4%e8%af%81%e5%a4%b1%e8%b4%a5%e4%bc%9a%e9%94%81%e5%ae%9a%e5%85%b6%e4%bb%96%e8%b4%a6%e5%8f%b7&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;第四步：为什么 svc-erp 的认证失败会锁定其他账号？&#xD;&#xA;&lt;/h3&gt;&lt;p&gt;这里需要解释一个 Windows 认证的特殊现象：&lt;strong&gt;NTLM 认证时，如果用户名不正确，域控会尝试匹配用户名，匹配失败会计入域内所有同名账号的失败次数&lt;/strong&gt;。但更直接的原因是：&lt;/p&gt;&#xA;&lt;p&gt;进一步查看日志，发现这台服务器上的 IIS 应用程序池的标识账号被配置为 &lt;code&gt;svc-erp&lt;/code&gt;，且该账号的密码在上周五（1月13日）按照公司密码策略到期，IT 管理员已修改了密码，但&lt;strong&gt;忘记同步更新 IIS 应用程序池的密码配置&lt;/strong&gt;。&lt;/p&gt;&#xA;&lt;p&gt;每当早上员工上班开机，大量浏览器访问内网 Web 应用，IIS 应用程序池启动，尝试使用旧密码进行认证，在短时间内对 &lt;code&gt;svc-erp&lt;/code&gt; 账号发起了数百次认证失败，触发了锁定。&lt;/p&gt;&#xA;&lt;p&gt;那为什么会锁定其他用户？继续深查……&lt;/p&gt;&#xA;&lt;h3 id=&#34;第五步发现另一个问题&#34;&gt;&lt;a href=&#34;#%e7%ac%ac%e4%ba%94%e6%ad%a5%e5%8f%91%e7%8e%b0%e5%8f%a6%e4%b8%80%e4%b8%aa%e9%97%ae%e9%a2%98&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;第五步：发现另一个问题&#xD;&#xA;&lt;/h3&gt;&lt;p&gt;再仔细分析日志，发现 &lt;code&gt;APP-SRV-01&lt;/code&gt; 上还有一个 Windows 计划任务，配置的运行账号是 &lt;code&gt;domain\%USERNAME%&lt;/code&gt; 格式的变量，但这个变量在任务运行时解析为了空字符串，导致域控在处理该空用户名认证请求时，对与请求特征相近的账号都计了一次失败（这是一个 Windows 的已知问题，见 KB2949873）。&lt;/p&gt;&#xA;&lt;p&gt;同时，&lt;code&gt;APP-SRV-01&lt;/code&gt; 上还安装了一个第三方监控 Agent，该 Agent 使用了另一个服务账号 &lt;code&gt;svc-monitor&lt;/code&gt;，密码也在同一天过期，也没有更新，同样在不停重试认证。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;综合来看，三个问题叠加造成了此次大规模账号锁定：&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;ol&gt;&#xA;&lt;li&gt;IIS 应用程序池使用过期密码的 &lt;code&gt;svc-erp&lt;/code&gt; 服务账号&lt;/li&gt;&#xA;&lt;li&gt;计划任务账号变量解析错误&lt;/li&gt;&#xA;&lt;li&gt;监控 Agent 使用过期密码的 &lt;code&gt;svc-monitor&lt;/code&gt; 服务账号&lt;/li&gt;&#xA;&lt;/ol&gt;&#xA;&lt;hr&gt;&#xA;&lt;h2 id=&#34;解决方案&#34;&gt;&lt;a href=&#34;#%e8%a7%a3%e5%86%b3%e6%96%b9%e6%a1%88&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;解决方案&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;&lt;strong&gt;立即处理：&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;ol&gt;&#xA;&lt;li&gt;&lt;strong&gt;解锁所有被锁定账号&lt;/strong&gt;（通过 PowerShell 批量解锁）：&lt;/li&gt;&#xA;&lt;/ol&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;2&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;3&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-powershell&#34; data-lang=&#34;powershell&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&lt;span style=&#34;color:#75715e&#34;&gt;# 批量解锁 AD 中所有被锁定的账号&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;Import-Module ActiveDirectory&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;Search-ADAccount -LockedOut | Unlock-ADAccount -PassThru | Select-Object Name, DistinguishedName&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;ol start=&#34;2&#34;&gt;&#xA;&lt;li&gt;&lt;strong&gt;更新 IIS 应用程序池密码&lt;/strong&gt;：&lt;/li&gt;&#xA;&lt;/ol&gt;&#xA;&lt;p&gt;在 APP-SRV-01 上打开 IIS 管理器 → 应用程序池 → 选择对应的应用程序池 → 高级设置 → 标识 → 更新为新密码，然后重启应用程序池。&lt;/p&gt;&#xA;&lt;ol start=&#34;3&#34;&gt;&#xA;&lt;li&gt;&lt;strong&gt;修复计划任务账号配置&lt;/strong&gt;：&lt;/li&gt;&#xA;&lt;/ol&gt;&#xA;&lt;p&gt;将计划任务的运行账号改为明确的域账号，而不是变量。&lt;/p&gt;&#xA;&lt;ol start=&#34;4&#34;&gt;&#xA;&lt;li&gt;&lt;strong&gt;更新监控 Agent 配置&lt;/strong&gt;：&lt;/li&gt;&#xA;&lt;/ol&gt;&#xA;&lt;p&gt;在 Agent 配置文件中更新 &lt;code&gt;svc-monitor&lt;/code&gt; 的新密码，重启 Agent 服务。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;重启相关服务后，账号不再反复锁定，验证修复成功。&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;长期处理：&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;p&gt;使用 &lt;strong&gt;托管服务账号（gMSA，Group Managed Service Account）&lt;/strong&gt; 替换普通服务账号：&lt;/p&gt;&#xA;&lt;div class=&#34;highlight&#34;&gt;&lt;div style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&#xA;&lt;table style=&#34;border-spacing:0;padding:0;margin:0;border:0;&#34;&gt;&lt;tr&gt;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;1&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;2&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;3&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;4&#xA;&lt;/span&gt;&lt;span style=&#34;white-space:pre;-webkit-user-select:none;user-select:none;margin-right:0.4em;padding:0 0.4em 0 0.4em;color:#7f7f7f&#34;&gt;5&#xA;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&#xA;&lt;td style=&#34;vertical-align:top;padding:0;margin:0;border:0;;width:100%&#34;&gt;&#xA;&lt;pre tabindex=&#34;0&#34; style=&#34;color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;&#34;&gt;&lt;code class=&#34;language-powershell&#34; data-lang=&#34;powershell&#34;&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&lt;span style=&#34;color:#75715e&#34;&gt;# 创建 gMSA&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;New-ADServiceAccount -Name &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;gMSA-ERP&amp;#34;&lt;/span&gt; -DNSHostName &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;app-srv-01.domain.com&amp;#34;&lt;/span&gt; -PrincipalsAllowedToRetrieveManagedPassword &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;APP-SRV-01$&amp;#34;&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;&lt;span style=&#34;color:#75715e&#34;&gt;# 在目标服务器上安装 gMSA&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;span style=&#34;display:flex;&#34;&gt;&lt;span&gt;Install-ADServiceAccount -Identity &lt;span style=&#34;color:#e6db74&#34;&gt;&amp;#34;gMSA-ERP&amp;#34;&lt;/span&gt;&#xA;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&#xA;&lt;/div&gt;&#xA;&lt;/div&gt;&lt;p&gt;gMSA 的密码由 AD 自动管理和轮换，无需手动更新，从根本上避免服务账号密码过期问题。&lt;/p&gt;&#xA;&lt;hr&gt;&#xA;&lt;h2 id=&#34;根因分析&#34;&gt;&lt;a href=&#34;#%e6%a0%b9%e5%9b%a0%e5%88%86%e6%9e%90&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;根因分析&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;根本原因是&lt;strong&gt;服务账号密码策略管理不规范&lt;/strong&gt;：普通域账号的密码到期策略同样应用到了服务账号上，修改密码后没有同步更新所有使用该账号的服务配置，导致服务使用旧密码反复认证，最终触发大规模账号锁定。&lt;/p&gt;&#xA;&lt;hr&gt;&#xA;&lt;h2 id=&#34;预防措施&#34;&gt;&lt;a href=&#34;#%e9%a2%84%e9%98%b2%e6%8e%aa%e6%96%bd&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;预防措施&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;&lt;strong&gt;1. 服务账号使用 gMSA 或 sMSA&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;p&gt;彻底解决密码手动管理问题，AD 自动轮换密码，服务不感知。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;2. 服务账号设置&amp;quot;密码永不过期&amp;quot;（次优方案）&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;p&gt;如果暂时无法迁移到 gMSA，可对服务账号单独设置&amp;quot;密码永不过期&amp;quot;，避免自动过期触发问题。但这属于临时方案，存在安全风险。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;3. 密码变更 SOP&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;p&gt;修改服务账号密码时，必须同步检查所有使用该账号的服务/应用/计划任务，逐一更新。建立服务账号使用台账，记录每个服务账号被哪些服务使用。&lt;/p&gt;&#xA;&lt;p&gt;&lt;strong&gt;4. 账号锁定告警&lt;/strong&gt;&lt;/p&gt;&#xA;&lt;p&gt;在 SIEM 或监控系统中配置 Event ID 4740 告警，当锁定数量在 10 分钟内超过阈值（如 5 个以上）时立即通知运维，快速定位来源机器。&lt;/p&gt;&#xA;&lt;hr&gt;&#xA;&lt;h2 id=&#34;总结&#34;&gt;&lt;a href=&#34;#%e6%80%bb%e7%bb%93&#34; class=&#34;header-anchor&#34;&gt;&lt;/a&gt;总结&#xD;&#xA;&lt;/h2&gt;&lt;p&gt;账号批量锁定事件看起来是个用户问题，实际上根源在于服务侧的配置管理疏漏。一个看不见的服务账号在后台不停地用错误密码敲门，却殃及了数十名员工的正常工作。&lt;/p&gt;&#xA;&lt;p&gt;这次事件之后，我们对公司所有服务账号做了全面梳理，整理了台账，并推进了核心系统服务账号向 gMSA 的迁移。事实证明，这类&amp;quot;基础设施维护&amp;quot;的工作，往往是避免大故障的关键。&lt;/p&gt;&#xA;</description>
        </item></channel>
</rss>
