3.7K
Política de bloqueo de cuentas de usuario de AD utilizada para proteger contra ataques de contraseña de fuerza bruta. Sin embargo, algunos usuarios tienen eventos repetidos de bloqueo de cuentas que ocurren aleatoriamente sin un incidente de ataque de inicio de sesión. En este artículo, veremos cómo encontrar la fuente (computadora o servicio) de un bloqueo de cuenta de usuario en un dominio de Active Directory.
Si la cuenta de un usuario está bloqueada, recibirá el siguiente error en la pantalla de inicio de sesión cuando intente iniciar sesión en las computadoras del dominio:
La cuenta a la que se hace referencia está actualmente bloqueada y no se puede iniciar sesión en ella.
Esto puede suceder después de varios intentos fallidos de inicio de sesión con una contraseña incorrecta o sin la intervención del usuario cuando un servicio (aplicación) intenta utilizar una contraseña de usuario antigua guardada.
Política de bloqueo de cuentas en el dominio de Active Directory
Un evento de bloqueo de cuenta indica que la política de seguridad del dominio de Active Directory bloquea automáticamente la cuenta de usuario de forma temporal. La política de bloqueo de cuentas de Doman se puede configurar usando el Política de dominio predeterminada o usando una costumbre Objeto de política de contraseñas.
La política de bloqueo le permite configurar los siguientes parámetros:
- Umbral de bloqueo de cuenta;
- Duración del bloqueo de la cuenta;
- Restablecer el contador de bloqueo de cuenta después
Ejecute el siguiente comando de PowerShell para obtener la configuración de política de bloqueo de cuenta resultante que se aplica al usuario específico:
Get-ADUserResultantPasswordPolicy -Identity [username]
Si el comando no devuelve nada, el usuario se ve afectado por la configuración de política de bloqueo de dominio predeterminada. Enumere la configuración de bloqueo de GPO predeterminada:
Get-ADDefaultDomainPasswordPolicy | select *lockout*|ft
Además, puede ver o cambiar la configuración de bloqueo predeterminada en la GUI de la consola de administración de políticas de grupo (Configuración de la computadora > Políticas > Configuración de Windows > Configuración de seguridad > Políticas de cuenta > Política de bloqueo de cuenta).
En este caso, se bloqueará una cuenta después de 5 intentos fallidos de iniciar sesión con una contraseña incorrecta. El tiempo de bloqueo es de 30 minutos, transcurrido el cual el usuario se desbloquea automáticamente.
Nota. Si LockoutDuration = 0, dicha cuenta nunca se desbloqueará automáticamente. Sólo el administrador del dominio puede eliminar el bloqueo.
Un administrador puede desbloquear manualmente la cuenta de usuario utilizando el complemento Usuarios y computadoras de Active Directory. Encuentra el usuario, ve a la Cuenta pestaña, marque la casilla Desbloquear pestaña de cuenta. Esta cuenta está actualmente bloqueada en este controlador de dominio de Active Directory y presione Aceptar.
También puedes usar PowerShell para enumerar todas las cuentas bloqueadas en un dominio:
Search-ADAccount -LockedOut -UsersOnly | Select-Object Name, SamAccountName, Lockedout
Desbloquear cuenta de usuario de AD específica:
Unlock-ADAccount jjackson –Confirm
Si desea desbloquear todas las cuentas a la vez, ejecute:
Search-ADAccount –LockedOut -UsersOnly | Unlock-ADAccount
Habilite la política de auditoría de bloqueo de cuentas en Active Directory
Pero en algunos casos, las cuentas de usuario se bloquean sin motivo aparente. En esta situación, los usuarios informan que no han hecho nada y nunca han ingresado una contraseña incorrecta, pero su cuenta se mantiene bloqueada. El administrador puede eliminar manualmente el bloqueo a petición del usuario, pero después de un tiempo la situación se repite.
En este caso, un administrador necesita encontrar el origen de los eventos de bloqueo de la cuenta que están provocando el bloqueo. Esto se puede hacer usando el Auditar la gestión de cuentas de usuario política:
- Abra la Consola de administración de políticas de grupo (gpmc.msc);
- Edite la Política de controladores de dominio predeterminada;
- Navegar a Configuración de la computadora > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Política de auditoría
- Seleccionar Gestión de cuentas de auditoría política;
- Habilite las casillas de verificación: Definir estas configuraciones de política, Auditar estos intentos: Éxito y Falla. Guarde los cambios en el GPO.
- Luego navegue hasta Configuración de la computadora > Políticas > Configuración de Windows > Configuración de seguridad > Configuración avanzada de la política de auditoría > Políticas de auditoría > Inicio de sesión de cuenta;
- Habilitar el Auditar el servicio de autenticación Kerberos política con el Éxito y Falla opciones.
- Vaya a Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Política de auditoría avanzada > Inicio/Cierre de sesión. Habilitar el Política de bloqueo de cuentas de auditoría;
- Espere un momento hasta que la política se aplique a todos los controladores de dominio.
Cómo encontrar la fuente de bloqueo de cuenta en el dominio
Los eventos de bloqueo de cuentas se procesan en el emulador de PDC. Utilice el siguiente comando de PowerShell para buscar el controlador de dominio que ejecuta la función FSMO del emulador de PDC:
get-addomain | select PDCEmulator
El ID de evento 4740 aparece en el registro de eventos de seguridad en el emulador de PDC cuando se bloquea una cuenta de usuario.
Inicie sesión en el PDC y abra el Visor de eventos (eventvwr.msc). Expandir Visor de eventos > Registros de Windows > Seguridad. Haga clic derecho en Seguridad elemento y seleccione Filtrar registro actual.
Filtrar el registro de seguridad por ID de evento 4740.
Verá una lista de eventos de bloqueo de cuentas en el PDC con un mensaje: Se bloqueó una cuenta de usuario. Busque la entrada más reciente en el registro que contiene el nombre del usuario requerido en el Nombre de cuenta valor. Busque el nombre de la computadora desde la cual ocurrió el evento de bloqueo en los detalles del evento (Nombre de la computadora que llama). En este caso, el nombre de la computadora es SEMANA11.
Si no puede encontrar el ID del evento 4720 con un bloqueo de usuario, o si el valor del Nombre de la computadora que llama está vacío, debe verificar el registro de seguridad del controlador de dominio para el ID del evento 4771.
- Habilite el filtro de registro de seguridad por ID de evento 4771;
- Encontrará varios eventos del servicio de autenticación Kerberos;
- Revise todos los eventos de «Error de autenticación previa de Kerberos» para el elemento que contiene Código de falla: 0x18. Este código de error indica lo siguiente “Las credenciales del cliente han sido revocadas. Cuenta deshabilitada, vencida, bloqueada, horas de inicio de sesión”;
- En este caso, el Dirección del cliente El campo en la descripción del evento contendrá la dirección IP de una máquina en la que ocurrió el evento de bloqueo.
- En este ejemplo, el dispositivo con dirección IP 172.16.61.9 inició el bloqueo de la cuenta de usuario.
Obtener la fuente de bloqueo de cuenta mediante PowerShell
Además, puede encontrar la fuente de bloqueo de la cuenta en el controlador de dominio principal mediante PowerShell. Enumere los últimos eventos de bloqueo de cuenta en el PDC:
$properties = @('TimeCreated',@{n='Account Name';e={$_.Properties[0].Value}}, @{n='Caller Computer Name';e={$_.Properties[1].Value}}) Get-WinEvent -FilterHashTable @{LogName="Security"; ID=4740} | Select $properties
El origen del bloqueo de la cuenta se especifica en la Nombre de la computadora que llama propiedad.
Puede encontrar las fuentes de eventos de bloqueo para un usuario específico en los últimos 2 días usando el comando:
$username = ‘m.becker’ $pdcname=(get-addomain).PDCEmulator $Date = (Get-Date).AddDays(-2) Get-WinEvent -computername $pdcname -FilterHashtable ` @{logname="security";id=4740;data="m.becker"; StartTime=$Date} |` Select-Object -Property timecreated,` @{label="username";expression={$_.properties[0].value}},` @{label="computername";expression={$_.properties[1].value}}
Causas comunes de bloqueos de cuentas
En la mayoría de los casos, el bloqueo de la cuenta comienza después de que el usuario cambia la contraseña del dominio. Un bloqueo periódico de una cuenta puede deberse a diferentes motivos:
- En realidad, se está realizando un ataque de fuerza bruta en su dominio. Encuentre la computadora de origen de acuerdo con esta guía y desconéctela de la red;
- Errores de usuario al escribir una contraseña. El usuario comete un error al ingresar una contraseña u olvida la contraseña que fue cambiada recientemente;
- Sesión RDP/RDS desconectada: generalmente ocurre si el usuario cerró la sesión remota en lugar de cerrar sesión. Puede evitar este problema configurando la política de forzar el cierre de sesiones de escritorio remoto inactivo en el dominio (opción de GPO: Establecer límite de tiempo para sesiones de Servicios de Escritorio remoto activas pero inactivas);
- Servicio de Windows ejecutándose con la contraseña de usuario guardada. No utilice la cuenta de usuario para ejecutar servicios en servidores/computadoras de dominio. En su lugar, utilice una cuenta de servicio separada o una Cuenta de servicio administrada (MSA);
- Credenciales de usuario guardadas en los trabajos del Programador de tareas. Al igual que con los servicios, las cuentas de usuario se suelen utilizar para ejecutar la tarea del programador. Es mejor utilizar cuentas de servicio para ejecutar tareas programadas;
- Unidades de red asignadas persistentes con credenciales guardadas;
- Dispositivos móviles con credenciales de usuario guardadas: verifique la configuración del cliente de correo electrónico en su dispositivo móvil para ver las credenciales de AD guardadas (como Outlook, ActiveSync, etc.). Las redes guardadas (contraseñas para conexiones Wi-Fi) también se pueden asignar a esta categoría (si utiliza la autenticación Wi-Fi con Windows Active Directory a través del servidor Radius);
- Contraseña guardada en los navegadores;
- Contraseña de usuario guardada en el Administrador de credenciales de Windows. Abra el Administrador de credenciales (rundll32.exe keymgr.dll, KRShowKeyMgr) y elimine todas las credenciales guardadas.
Uso de la herramienta de bloqueo de cuentas para realizar un seguimiento de los eventos de bloqueo
Puedes utilizar el práctico gráfico. LockoutStatus.exe herramienta para encontrar la fuente del bloqueo de la cuenta (Herramientas de gestión y bloqueo de cuentas).
Descargue la herramienta de administración y bloqueo de cuentas de Microsoft (ALTools.exe)extraiga el archivo y ejecute LockoutStatus.exe. Seleccionar menú Archivo > Seleccionar destino e ingrese el nombre de usuario necesario (SAMAccountName).
La utilidad LockoutStatus.exe busca eventos con ID de evento 4740 en los registros del controlador de dominio y muestra los datos resumidos de los eventos y la cuenta de usuario bloqueada.
Aquí puede ver el estado actual del usuario en todos los DC (bloqueado), Tiempo de bloqueo, el valor de Recuento de contraseñas incorrectas en cada DC y el nombre de la computadora desde la cual ocurrió el bloqueo (Bloqueo original).
Puede desbloquear la cuenta de usuario directamente desde la herramienta en lugar de utilizar la consola ADUC. Para hacer esto, seleccione un DC, haga clic derecho en el usuario y seleccione ‘Desbloquear cuenta‘. También puede cambiar la contraseña de usuario seleccionando el botón ‘Restablecer la contraseña del usuario‘elemento del menú.
¡Eso es todo! ¡Espero que esto haya sido útil para solucionar los problemas cuando la cuenta AD sigue bloqueándose!