最近,公司部分用户反映在使用公司相关微软系统(包括Microsoft Share Point 2010、Microsoft Outlook 2010、Lync)时会不定期出现弹出密码框且无法登陆的问题(如图1)。在正常情况下,用户只需要登录系统后,不需要再次输入用户名和密码就能访问这些基于AD的应用系统。
一、现象分析
通过抓包分析,并结合采用微软提供的LockoutStatus工具,我们发现此问题是由于相关域帐号在与用户PC(或服务器)无关的机器上发起了多次失败的登陆,造成这些账户在域中被锁定而导致的(根据公司AD(Active Directory,活动目录)安全策略,连续5次密码登录失败,AD帐号会被锁定5-10分钟,这个根据AD策略设置会有所不同,如图2)。

图1

图2
二、原因分析
通过病毒扫描判定帐号被锁定是由“W32.Downadup.B”病毒引起。经分析,W32.Downadup.B可利用Microsoft Windows服务器服务RPC(Remote Procedure Call,远程过程调用)的远程代码执行漏洞进行传播,或使用密码字典猜测用户的密码,连接用弱密码保护的网络共享进行感染。病毒可能造成如下问题:
(1)阻止受感染的计算机访问某些网站(如安全更新网站),从而无法清除病毒威胁;
(2)由于病毒自动使用密码尝试使用局域网资源,导致部分AD帐户非正常锁定。
三、病毒防范方法
防范W32.Downadup.B病毒需要安装微软官方补丁MS08-067,详见:http://www.microsoft.com/security/pc-security/conficker.aspx。并结合使用最新的病毒库对所有服务器已经进行全面扫描。发现有帐号锁定的情况,马上通知IT的管理员进行帐号解锁,来避免由此造成的问题。