Posibles causas del bloqueo de usuarios en Active Directory
Esta situación se presenta en empresas que cuentan con una política de Bloqueo de Cuenta cuando se ingresa cierta cantidad de contraseñas incorrectas, esto es correcto desde el punto de vista de la ciberseguridad ya que ayuda a proteger contra ataques de fuerza bruta.
Algunas de las principales causas de bloqueo son:
- Mapeo constante de unidades con credenciales antiguas
- Dispositivos móviles que usan servicios corporativos con credenciales antiguas
- Cuentas de servicio que usan contraseñas almacenadas en caché que se cambiaron durante el mantenimiento
- Tareas programadas con contraseñas obsoletas
- Programarams usando contraseñas almacenadas en caché que se cambiaron
- Sesiones de servidor de terminales desconectadas
- Problemas con la replicación de Active Directory
- Configuración de directiva de dominio configurada incorrectamente
- Actividad maliciosa, como un ataque de fuerza bruta de contraseña.
Dónde configurar la política de bloqueo de cuenta
Abra el editor de políticas de grupo y cree una nueva política, asígnele un nombre, por ejemplo, Política de bloqueo de cuenta, a la derecha cliCompruébalo y selecciona "Editar".
- Establezca el tiempo hasta que el contador de bloqueo se restablezca a 30 minutos
- El umbral de bloqueo es de 5 errores de inicio de sesión
- Duración del bloqueo de la cuenta: 30 minutos.
Cerrar, aplicar la política y ejecutar gpuactualizar / forzar en la máquina de destino
Cómo averiguar por qué se bloqueó la cuenta
Ahora que la política está habilitada, debemos averiguar qué está causando el bloqueo de la cuenta y de qué computadora o dispositivo proviene. Para responder a esta pregunta, debe configurar una política de auditoría especial para realizar un seguimiento de los eventos relevantes a partir de los cuales podrá determinar la causa del bloqueo. Este tipo de auditoría no está configurado por defecto.
Abra el Editor de políticas de grupo (gpmc.exe) nuevamente, cree una Política de auditoría, ábrala y siga:
Configuración del equipo -> Políticas -> Windows Configuración -> Configuración de seguridad -> Política local -> Política de auditoría
Necesitamos habilitar la auditoría de inicio de sesión, esta política genera los eventos 4771 y 4624. Configurémosla en "Éxito y error".
También debemos configurar la política de auditoría de eventos de inicio de sesión en "Éxito y error", así como "Auditoría de gestión de cuentas" para ver los eventos 4740.
Forzar una actualización de política y ejecutar gpuactualización / fuerza en la máquina de destino.
Qué eventos rastrear en el registro de seguridad
Una entrada de credencial incorrecta genera el evento 4740 en todos los controladores de dominio. Con códigos de error de Kerberos:
- - 6 - El nombre de usuario no existe
- - 12 - Límite de tiempo de inicio de sesión
- - 18 - Cuenta desactivada, deshabilitada o caducada
- - 23 - Contraseña de usuario caducada
- - 24 - Preautenticación fallida (contraseña incorrecta)
- - 32 - Billete caducado
- - 37 - La hora de la computadora no estaba sincronizada con la hora del dominio
Códigos de error NTLM:
- - 3221225572 - C0000064 - Este nombre de usuario no existe
- - 3221225578 - C000006A - Nombre de usuario correcto, pero contraseña incorrecta
- - 3221226036 - С0000234 - Esta cuenta de usuario está bloqueada
- - 3221225586 - C0000072 - Cuenta Desactivada
- - 3221225583 - C000006E - Usuario que intenta iniciar sesión fuera del período de tiempo especificado
- - 3221225584 - С0000070 - Limitación del puesto de trabajo
- - 3221225875 - С0000193 - Cuenta vencida
- - 3221225585 - 0000071 - Contraseña caducada
- - 3221226020 - C0000224 - El usuario debe cambiar la contraseña la próxima vez que inicie sesión
Cómo investigar la causa del bloqueo de la cuenta
Abra el Registro de eventos y vaya a "Seguridad", aquí es donde se recopilan los ID de eventos que pueden ayudar a determinar el motivo del bloqueo. Hay muchos eventos, así que fíltrelos con "Filtrar registro actual", esto nos permitirá seleccionar solo los eventos que queremos. En el campo "Registrado", especifique el período de tiempo, en el campo ID del evento, especifique 4740 y clic "Ok"
Utilice la búsqueda (Buscar) para encontrar el nombre de la cuenta necesaria, en registros filtrados. Finalmente, los eventos deben filtrarse por el inicio de sesión especificado con el código 4740, donde podemos encontrar el motivo del bloqueo. Por ejemplo, el campo "Nombre de la computadora que llama" contiene el nombre de la computadora desde la cual se originaron los inicios de sesión fallidos que causan el bloqueo.natedición Luego, debe ir a la computadora de destino e inspeccionar los registros de eventos allí para determinar por qué esta máquina está intentando iniciar sesión con credenciales no válidas.
Hay otras razones para el bloqueo que se pueden encontrar en los eventos 4740, como el nombre del servidor de Exchange en el "Nombre de la computadora que llama"; esto significa que el problema está en Outlook, el correo móvil. client o su calendario. Para investigar este bloqueo, necesita mirar el IIS inicia sesión en el servidor de Exchange. O también puede usar el comando Get-ActiveSyncDeviceStatistics en PowerShell para ver el problema con los dispositivos móviles.
Microsoft ALHerramientas
Microsoft tiene su propia herramienta para ayudarlo a solucionar problemas de bloqueo de cuentas: la Herramienta de administración y bloqueo de cuentas de Microsoft (AlTools.exe). Descargue Estado de bloqueo de cuenta (LockoutStatus.exe) del Centro de descarga oficial de Microsoft
Esta herramienta muestra información sobre una cuenta bloqueada con su estado de usuario y tiempo de bloqueo en cada controlador de dominio y le permite desbloquearla con el botón derecho.clicking en la cuenta correspondiente.
Ejecute LockoutStatus.exe > Archivo > Seleccionar destino > Ingrese el nombre de la cuenta y el dominio > Aceptar
Le mostrará todos los estados relacionados con el bloqueo para esa cuenta.
Herramienta EventCombMT
La herramienta EventCombMT recopila eventos específicos de varios servidores diferentes en una ubicación central.
Ejecute EventCombMT.exe > Derecha-click Seleccione para buscar > Seleccione Obtener DC en dominio > Seleccione controladores de dominio para buscar. - Click Búsquedas > Búsquedas integradas > Bloqueos de cuentas.
Otras causas de bloqueos de cuentas de usuario
Si el problema de bloqueo es causado por Google Workspaservicios de ces (Gmail, Gdrive...), los registros mostrarán que los inicios de sesión fallidos provienen de la computadora de la ESTACIÓN DE TRABAJO.
También se pueden ver detalles sobre el bloqueo en el evento 4771. Allí puede encontrar los códigos Kerberos descritos anteriormente y la dirección IP del dispositivo desde el que provienen los inicios de sesión fallidos.
Si el "Nombre de la computadora que llama" del evento 4770 y CliLa dirección ent 4771 está vacía, ¡esto significa que lo más probable es que estés siendo atacado por fuerza bruta!
Para averiguar el origen de los inicios de sesión fallidos en este caso, debe habilitar la depuración de "netlogon" y mirar sus registros. Netlogon es un Windows Server proceso que autentica usuarios y otros servicios en el dominio. Habilite el registro de Netlogon: Inicio > Ejecutar > escriba:
nltest /dbflag:2080ffffff > OKDespués de reiniciar el servicio Netlogon, la actividad correspondiente se puede registrar en %windir%/debug/netlogon.log.
También puede analizar los registros de Netlogon usando un script:
type netlogon.log |find /i "0xC000006A" > failedpw.txt type netlogon.log |find /i "0xC0000234" > lockedusr.txt¡Advertencia! Recuerde apagar Netlogon después de haber registrado eventos, ya que el rendimiento del sistema puede ser un poco lento debido al proceso de depuración y usará disco adicional. spaCe. Deshabilite el registro de Netlogon:
Inicio > Ejecutar > escriba:
nltest /dbflag:0 > OKEn los registros puede encontrar las IP de las computadoras que no se muestran en los registros de eventos, pueden ser servidores de terminales o RDP estaciones de trabajo que están bajo ataque de fuerza bruta de contraseña.
Volvamos al registro de eventos de seguridad. Otro evento útil con el código de evento 4776 también es donde puede encontrar la estación de trabajo a la que está intentando iniciar sesión.
Si no conoce la dirección IP en sus registros, puede buscar la dirección mac en el servidor DHCP o en su equipo de red y averiguar el fabricante de la dirección mac con servicios especiales, que se pueden encontrar fácilmente en Internet. Esto es útil cuando los inicios de sesión fallidos provienen de algún teléfono inteligente o tableta.
Otra cosa útil sería buscar en el evento 4625, allí puede encontrar el proceso que está causando el bloqueo de la cuenta. Use Process Hacker o Process Monitor para ver las credenciales de los procesos activos.
Windows El Programador de tareas puede ser un problema de bloqueo: puede haber una tarea configurada para ejecutarse con una cuenta cuya contraseña ha cambiado.
Puede haber credenciales almacenadas en la máquina local, que se pueden encontrar así:
Inicio > Ejecutar > rundll32 keymgr.dll, KRShowKeyMgr > Aceptar.
O Netplwiz:
Inicio> Ejecutar> escriba: netplwiz> Aceptar CliMarque la pestaña Avanzado y, a continuación, click Gestión de contraseñas.
Una sesión de servidor de terminal con credenciales obsoletas puede provocar un bloqueo. Para deshabilitar un RDP sesión, ejecute los siguientes comandos en la línea de comando (Win+R > "cmd"), reemplazando "server_ip", "name" y "password" con las credenciales requeridas
net use \\server_ip /USER:name passwordEsto le permite iniciar sesión en un servidor remoto sin usar RDP.
query session /server:nameReemplace "nombre" con el nombre del servidor. Aquí obtienes la identificación de la sesión.
reset session id /server:server_ipEsto finaliza la sesión activa en el servidor remoto.
El bloqueo de cuentas puede deberse a la replicación de AD cuando una actualización de contraseña no se ha replicado en todos los controladores de dominio. Para forzar la replicación, ejecute el siguiente comando en su controlador de dominio:
repadmin /syncall /AdeP
