601
Para autenticarse en Active Directory, deberá proporcionar su nombre de usuario y contraseña válidos. Si el usuario ingresó una contraseña incorrecta, se mostrará un mensaje de error en la pantalla de inicio de sesión de Windows:
El nombre de usuario o contraseña son incorrectos. Intentar otra vez.
Si el usuario ha intentado iniciar sesión con una contraseña incorrecta, los detalles se escriben en el malacontraseñahora atributo en las propiedades de usuario de AD del usuario. También incrementa la badPwdCount valor del atributo por uno.
Si el valor badPwdCount excede el umbral especificado en el Umbral de bloqueo de cuenta parámetro de su Política de bloqueo de cuenta, la cuenta de usuario se bloqueará por un período de tiempo.
Según el evento de bloqueo, puede realizar un seguimiento del dispositivo desde el cual se bloqueó la cuenta de usuario (consulte la publicación para obtener la fuente de bloqueo de la cuenta en AD).
Puede usar el comando PowerShell para obtener los valores actuales de estos atributos de usuario de AD:
Get-ADUser -Identity j.brion -Properties * | select name, badPwdCount, LastBadPasswordAttempt
Sin embargo, si no ha configurado una política de bloqueo, o si ha establecido un valor de umbral de bloqueo alto que no se alcanza, no podrá encontrar la fuente de los intentos incorrectos de inicio de sesión con contraseña.
En este artículo, veremos cómo averiguar el nombre de la computadora y la dirección IP del dispositivo desde el cual se realizan los intentos de inicio de sesión con una contraseña incorrecta. Esto puede ayudarle a detectar rápidamente ataques de fuerza bruta o resolver problemas de bloqueo de cuentas de usuario.
Para realizar un seguimiento de los intentos fallidos de autenticación con contraseñas incorrectas, debe habilitar una política de auditoría en los controladores de dominio de AD.
- Abra la Consola de administración de políticas de grupo (gpmc.msc);
- Expanda la Unidad organizativa de controladores de dominio y edite la Política de controladores de dominio predeterminada;
- Vaya a la siguiente sección de Política de grupo: Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Política de auditoría avanzada > Inicio/Cierre de sesión;
- Habilitar el Inicio de sesión de auditoría política. Para realizar un seguimiento únicamente de los intentos de contraseña incorrecta en los registros de seguridad del controlador de dominio, seleccione Falla solo;
- Forzar la actualización de la configuración de GPO con el comando gpupdate/fuerza (o espere 5 minutos; este es el intervalo de actualización de políticas predeterminado para los controladores de dominio).
Ahora, si un usuario intenta iniciar sesión con una contraseña incorrecta, se mostrará un evento con el ID de evento 4625 aparecerá en el controlador de dominio contra el que están intentando autenticarse (servidor de inicio de sesión).
- Abra el complemento MMC del Visor de eventos (eventvwr.msc);
- Expanda los registros de Windows;
- Haga clic derecho en el Seguridad y seleccione Filtrar el registro actual;
- Ingrese el código 4625 en el campo ID de evento;
- En la lista de eventos sólo permanecen los eventos de inicio de sesión fallidos;
- Abrir el último evento Una cuenta no pudo iniciar sesión.
- La descripción del evento contiene mucha información útil. Contiene el nombre del usuario que intentó autenticarse.
Cuenta para la que falló el inicio de sesión:
Nombre de cuenta: j.smith
Y el motivo del error de inicio de sesión:
Motivo del error: nombre de usuario desconocido o contraseña incorrecta.
Ahora desplácese hacia abajo en la descripción del evento. El nombre y la IP de la computadora desde la cual se realizó el intento fallido de inicio de sesión aparecerán aquí:
Información de red:
Nombre de la estación de trabajo: DESKTOP-D0MA607
Dirección de red de origen: 192.168.79.1
Puerto de origen: 0
Puede usar PowerShell para mostrar una lista de computadoras (nombre de host + dirección IP) que intentaron iniciar sesión con una contraseña incorrecta como el usuario especificado.
$username="jsmith" Get-WinEvent -FilterHashtable @{ LogName="Security"; Id='4625'; Data=$username } | foreach {$_.Properties[13].value + '|' + $_.Properties[19].value + '|' + $_.TimeCreated}
Para consultar todos los controladores de dominio en AD y obtener información sobre las fuentes de intentos de contraseña incorrectos, ejecute:
$username="jsmith" Get-ADDomainController -fi * | select -exp hostname | % { $GweParams = @{ ‘Computername’ = $_ ‘LogName’ = ‘Security’ ‘FilterXPath’ = "*[System[EventID=4625] and EventData[Data[@Name="TargetUserName"]='$Username']]" } $Events = Get-WinEvent @GweParams $Events | foreach {$_.Computer + " " +$_.Properties[13].value + '|' + $_.Properties[19].value + '|' + $_.TimeCreated} }
Eso es todo. Espero que esto haya sido útil para comprender cómo encontrar intentos de contraseña incorrectos en Active Directory.