【51CTO專稿】最近，公司部分用戶反映在使用公司相關微軟系統（包括Microsoft Share Point 2010、Microsoft Outlook 2010、Lync）時會不定期出現彈出密碼框且無法登陸的問題（如圖1）。在正常情況下，用戶只需要登錄系統后，不需要再次輸入用戶名和密碼就能訪問這些基于AD的應用系統。

一、現象分析

通過抓包分析，并結合采用微軟提供的LockoutStatus工具，我們發現此問題是由于相關域帳號在與用戶PC（或服務器）無關的機器上發起了多次失敗的登陸，造成這些賬戶在域中被鎖定而導致的（根據公司AD（Active Directory，活動目錄）安全策略，連續5次密碼登錄失敗，AD帳號會被鎖定5-10分鐘，這個根據AD策略設置會有所不同，如圖2）。

圖1

圖2

二、原因分析

通過病毒掃描判定帳號被鎖定是由“W32.Downadup.B”病毒引起。經分析，W32.Downadup.B可利用Microsoft Windows服務器服務RPC（Remote Procedure Call，遠程過程調用）的遠程代碼執行漏洞進行傳播，或使用密碼字典猜測用戶的密碼，連接用弱密碼保護的網絡共享進行感染。病毒可能造成如下問題：

（1）阻止受感染的計算機訪問某些網站（如安全更新網站），從而無法清除病毒威脅；

（2）由于病毒自動使用密碼嘗試使用局域網資源，導致部分AD帳戶非正常鎖定。

三、病毒防范方法

防范W32.Downadup.B病毒需要安裝微軟官方補丁MS08-067，詳見：http://www.microsoft.com/security/pc-security/conficker.aspx。并結合使用***的病毒庫對所有服務器已經進行全面掃描。發現有帳號鎖定的情況，馬上通知IT的管理員進行帳號解鎖，來避免由此造成的問題。

作者簡介：李洋，博士畢業于中科院計算所。10多年來一直從事計算機網絡信息安全研發工作，曾主持和參與多項國家重點項目以及信息安全系統和企業信息安全系統的研發工作。具有Linux系統應用、管理、安全及內核的研發經驗，擅長網絡安全技術、協議分析、Linux系統安全技術、Linux系統及網絡管理、Linux內核開發等。