อะไรคือสาเหตุของการที่บัญชีผู้ใช้ถูกล็อกซ้ำ ๆ และจะจัดการอย่างไร

นโยบายการล็อกบัญชีผู้ใช้อย่างเข้มงวดมีความสำคัญในการป้องกันการเดารหัสผ่านและการโจมตีแบบ brute-force แต่ก็มีความเสี่ยงที่จะล็อกผู้ใช้ที่ถูกต้องออกจากระบบ ซึ่งทำให้องค์กรต้องเสียเวลา เงิน และความพยายามโดยไม่จำเป็น

เมื่อคำขอรีเซ็ตรหัสผ่านคิดเป็นเกือบ 30% ของการแจ้งปัญหาทั้งหมดในฝ่าย IT การแก้ไขปัญหาบัญชีถูกล็อกบ่อยจึงกลายเป็นภารกิจสำคัญของผู้ดูแลระบบ (sysadmin) และด้วยพนักงานที่สลับใช้งานหลายอุปกรณ์และทำงานร่วมกันผ่านหลายแอปพลิเคชัน ทำให้การหาสาเหตุของการล็อกบัญชีใน Active Directory (AD) ยิ่งยากขึ้น

สิ่งสำคัญคือการเข้าใจว่าทำไมรหัสผ่านที่ไม่ถูกต้องถึงถูกใช้ซ้ำ ๆ เช่น ถูกใช้โดยเจตนาร้ายหรือไม่ เพราะหากไม่ทราบข้อมูลนี้อาจนำไปสู่การเข้าถึงระบบโดยไม่ได้รับอนุญาต ดังนั้นจึงจำเป็นอย่างยิ่งต้องวิเคราะห์และหาสาเหตุของการล็อกบัญชีให้เจอโดยเร็ว เพื่อไม่ให้บัญชีผู้ใช้ถูกล็อกไว้นาน

ประเภทของการล็อกบัญชีใน Active Directory (AD)

นโยบายการล็อกบัญชีเป็นมาตรการความปลอดภัยในตัวระบบที่ใช้จำกัดผู้ใช้ที่ไม่หวังดีและแฮกเกอร์ไม่ให้เข้าถึงทรัพยากรเครือข่ายโดยไม่ได้รับอนุญาต การล็อกบัญชีใน AD ส่วนใหญ่มาจาก 2 สาเหตุหลัก ดังนี้:

• พนักงานที่ไม่รอบคอบลืมรหัสผ่านของตนเอง

องค์กรจะเข้มแข็งได้เท่ากับจุดอ่อนที่สุดของมัน หากไม่มีระบบ single sign-on พนักงานหนึ่งคนโดยเฉลี่ยต้องใช้รหัสผ่านประมาณ 27 รายการสำหรับการใช้งานในธุรกิจ นอกจากการเข้าถึง desktop และ VPN แล้ว ยังมีแอปพลิเคชันอีกมากมาย เช่น Outlook, Dropbox, G Suite, Salesforce, Amazon Web Services (AWS) ซึ่งต้องใช้รหัสผ่านเฉพาะอีก ทำให้พนักงานทั่วไปติดตามว่ากำลังใช้งานรหัสผ่านใดอยู่ได้ยาก ส่งผลให้บัญชีถูกล็อกบ่อย

แม้ว่าการรีเซ็ตรหัสผ่านประเภทนี้จะพบได้บ่อย แต่การแก้ไขสามารถทำได้ง่าย ๆ เพียงแค่ตรวจสอบตัวตนของผู้ใช้และรีเซ็ตรหัสผ่านบัญชีใน AD

• รหัสผ่านซ้ำกันจากข้อมูลรับรอง (credentials) ที่ถูกแคชไว้ในระบบ

การล็อกบัญชีประเภทนี้ แม้จะไม่พบบ่อยเท่าประเภทอื่น แต่กลับแก้ไขได้ยากกว่า เพราะสาเหตุที่แท้จริงของการถูกล็อกมักไม่ชัดเจน

ยิ่งไปกว่านั้น เนื่องจากพนักงานมักใช้อุปกรณ์หลายเครื่อง แอปพลิเคชันเพื่อการทำงานหลายตัว บริการต่าง ๆ ของ Windows และอื่น ๆ ทำให้การใช้รหัสผ่านเดียวกันซ้ำ ๆ อาจเป็นตัวกระตุ้นให้บัญชีถูกล็อกจากอุปกรณ์หรือบริการใดก็ได้

บทความนี้จะเจาะลึกถึงปัญหาบัญชีถูกล็อกซ้ำ วิเคราะห์สาเหตุ และพูดถึงเครื่องมือที่สามารถใช้ในการแก้ไขปัญหา

Microsoft Technet ระบุว่าสาเหตุที่พบบ่อยที่สุดของปัญหาการล็อกบัญชีมีดังนี้:

  • โปรแกรมที่ใช้ข้อมูลรับรอง (credentials) ที่ถูกแคชไว้

  • ข้อมูลรับรองที่หมดอายุแต่ยังถูกใช้งานโดยบริการของ Windows

  • การตั้งค่าว่าลองรหัสผ่านได้จำนวนน้อยครั้งก่อนจะล็อก

  • ผู้ใช้ล็อกอินจากหลายอุปกรณ์พร้อมกัน

  • ข้อมูลรับรองที่ซ้ำซ้อนหรือค้างอยู่จากชื่อผู้ใช้และรหัสผ่านที่บันทึกไว้

  • ข้อมูลรับรองเก่าที่ถูกใช้โดยงานที่ตั้งเวลาไว้ (Scheduled Tasks)

  • การแมปไดรฟ์ที่แชร์ไม่ถูกต้อง

  • ปัญหาในการ replication ของบัญชี AD

  • session ของ terminal ที่ยังค้างอยู่ใน Windows Server โดยไม่ได้เชื่อมต่อ

เครื่องมือที่ช่วยหาสาเหตุของการล็อกบัญชีซ้ำ ๆ

มีเครื่องมือหลายตัวที่ช่วยติดตามหาสาเหตุของปัญหาการล็อกบัญชีซ้ำ โดยส่วนใหญ่ต้องใช้เวลาและแรงงานค่อนข้างมาก ได้แก่:

• เครื่องมือจาก Microsoft สำหรับจัดการและตรวจสอบการล็อกบัญชี

Microsoft มีเครื่องมือชื่อ LockoutStatus และ EventCombMT ซึ่งเชื่อถือได้และแม่นยำ แต่การใช้งานจำเป็นต้องตั้งค่าเครื่องมือหลายตัว และต้องตรวจสอบองค์ประกอบของ Windows แบบแมนนวลเป็นประจำ

• สคริปต์ PowerShell

นอกจากแอดมินต้องเข้าใจภาษา scripting แล้ว การใช้ PowerShell ยังต้องตั้งค่าการ audit ความปลอดภัยของ AD ด้วยตัวเอง ซึ่งรวมถึงการระบุตัว domain controller ที่มีบทบาทเป็น primary domain controller emulator, การตรวจสอบ Event ID 4740 ใน log ของ security event และการวิเคราะห์รายละเอียดของ event ที่พบ

• เครื่องมือวิเคราะห์การล็อกบัญชีผู้ใช้

โซลูชันจากผู้ให้บริการภายนอกที่สามารถวิเคราะห์องค์ประกอบต่าง ๆ ของ Windows เช่น scheduled tasks, COM objects, OWA, แอปพลิเคชัน และ ActiveSync เพื่อหาสัญญาณของข้อมูลรับรองที่ล้าสมัยหรือการแมปที่ผิดพลาด ซึ่งช่วยอย่างมากในการค้นหาสาเหตุของการล็อกบัญชีซ้ำได้อย่างรวดเร็ว

ใช้เครื่องมือ Account Lockout Examiner ของ ManageEngine ADAudit Plus เพื่อระบุและแก้ไขปัญหาการล็อกบัญชี AD ซ้ำได้อย่างง่ายดาย โดยสามารถ:

  • ติดตามสถานะการล็อกบัญชี พร้อมรายละเอียดเกี่ยวกับเวลาที่ถูกล็อก เครื่องที่ใช้งาน และข้อมูลอื่น ๆ

  • วิเคราะห์บริการของ Windows, แอปพลิเคชัน, โปรเซส และ scheduled tasks เพื่อหาข้อมูลรับรองที่ล้าสมัย

  • ตรวจสอบการแมป network drive ที่ผิดพลาด และ session ที่ค้างจากการเชื่อมต่อ remote desktop

  • ตรวจสอบประวัติการเข้าสู่ระบบที่ล้มเหลวซึ่งเกี่ยวข้องกับบัญชีที่ถูกล็อก เพื่อดูบริบทเพิ่มเติม

  • ตรวจจับพฤติกรรมผู้ใช้ที่ผิดปกติ เช่น การล็อกบัญชีในช่วงเวลาหรือจำนวนที่ผิดปกติ โดยใช้การวิเคราะห์พฤติกรรมผู้ใช้ (User Behavior Analytics)

  • และฟีเจอร์อื่น ๆ อีกมากมาย

ดาวน์โหลดเวอร์ชันทดลองฟรี 30 วัน เพื่อช่วยระบุและแก้ไขปัญหาการล็อกบัญชี AD ได้อย่างรวดเร็ว