【51CTO專稿】最近，公司部分用戶反映在使用公司相關(guān)微軟系統(tǒng)（包括Microsoft Share Point 2010、Microsoft Outlook 2010、Lync）時(shí)會(huì)不定期出現(xiàn)彈出密碼框且無(wú)法登陸的問(wèn)題（如圖1）。在正常情況下，用戶只需要登錄系統(tǒng)后，不需要再次輸入用戶名和密碼就能訪問(wèn)這些基于AD的應(yīng)用系統(tǒng)。

一、現(xiàn)象分析

通過(guò)抓包分析，并結(jié)合采用微軟提供的LockoutStatus工具，我們發(fā)現(xiàn)此問(wèn)題是由于相關(guān)域帳號(hào)在與用戶PC（或服務(wù)器）無(wú)關(guān)的機(jī)器上發(fā)起了多次失敗的登陸，造成這些賬戶在域中被鎖定而導(dǎo)致的（根據(jù)公司AD（Active Directory，活動(dòng)目錄）安全策略，連續(xù)5次密碼登錄失敗，AD帳號(hào)會(huì)被鎖定5-10分鐘，這個(gè)根據(jù)AD策略設(shè)置會(huì)有所不同，如圖2）。

圖1

圖2

二、原因分析

通過(guò)病毒掃描判定帳號(hào)被鎖定是由“W32.Downadup.B”病毒引起。經(jīng)分析，W32.Downadup.B可利用Microsoft Windows服務(wù)器服務(wù)RPC（Remote Procedure Call，遠(yuǎn)程過(guò)程調(diào)用）的遠(yuǎn)程代碼執(zhí)行漏洞進(jìn)行傳播，或使用密碼字典猜測(cè)用戶的密碼，連接用弱密碼保護(hù)的網(wǎng)絡(luò)共享進(jìn)行感染。病毒可能造成如下問(wèn)題：

（1）阻止受感染的計(jì)算機(jī)訪問(wèn)某些網(wǎng)站（如安全更新網(wǎng)站），從而無(wú)法清除病毒威脅；

（2）由于病毒自動(dòng)使用密碼嘗試使用局域網(wǎng)資源，導(dǎo)致部分AD帳戶非正常鎖定。

三、病毒防范方法

防范W32.Downadup.B病毒需要安裝微軟官方補(bǔ)丁MS08-067，詳見(jiàn)：http://www.microsoft.com/security/pc-security/conficker.aspx。并結(jié)合使用***的病毒庫(kù)對(duì)所有服務(wù)器已經(jīng)進(jìn)行全面掃描。發(fā)現(xiàn)有帳號(hào)鎖定的情況，馬上通知IT的管理員進(jìn)行帳號(hào)解鎖，來(lái)避免由此造成的問(wèn)題。

作者簡(jiǎn)介：李洋，博士畢業(yè)于中科院計(jì)算所。10多年來(lái)一直從事計(jì)算機(jī)網(wǎng)絡(luò)信息安全研發(fā)工作，曾主持和參與多項(xiàng)國(guó)家重點(diǎn)項(xiàng)目以及信息安全系統(tǒng)和企業(yè)信息安全系統(tǒng)的研發(fā)工作。具有Linux系統(tǒng)應(yīng)用、管理、安全及內(nèi)核的研發(fā)經(jīng)驗(yàn)，擅長(zhǎng)網(wǎng)絡(luò)安全技術(shù)、協(xié)議分析、Linux系統(tǒng)安全技術(shù)、Linux系統(tǒng)及網(wǎng)絡(luò)管理、Linux內(nèi)核開(kāi)發(fā)等。