Possíveis causas de bloqueio de usuário no Active Directory
Essa situação ocorre em empresas que têm uma política de bloqueio de conta quando um determinado número de senhas incorretas é inserido, o que é correto do ponto de vista da segurança cibernética, pois ajuda a proteger contra ataques de força bruta.
Algumas das principais causas de bloqueio são:
- Mapeamento constante de unidades com credenciais antigas
- Dispositivos móveis que usam serviços corporativos com credenciais antigas
- Contas de serviço que usam senhas em cache que foram alteradas durante a manutenção
- Tarefas programadas com senhas desatualizadas
- Programas que usam senhas em cache que foram alteradas
- Sessões de servidor de terminal desconectadas
- Problemas com a replicação do Active Directory
- Configurações de política de domínio inadequadas
- Atividade maliciosa, como um ataque de força bruta de senha
.
Onde configurar a política de bloqueio de conta
Abra o editor de Política de Grupo e crie uma nova política, nomeie-a, por exemplo, Política de bloqueio de conta, clique com o botão direito do mouse e selecione "Editar".
- Defina o tempo até que o contador de bloqueio seja redefinido para 30 minutos
- O limite de bloqueio é de 5 erros de login
- Duração do bloqueio da conta - 30 minutos.
Feche, aplique a política e execute gpupdate /force na máquina de destino
Como descobrir por que a conta foi bloqueada
Agora que a política está ativada, precisamos descobrir o que está causando o bloqueio da conta e de qual computador ou dispositivo ele está vindo. Para responder a essa pergunta, é necessário configurar uma política de auditoria especial para acompanhar os eventos relevantes a partir dos quais será possível determinar a causa do bloqueio. Esse tipo de auditoria não é configurado por padrão.
Abra o Editor de Política de Grupo (gpmc.exe) novamente, crie uma Política de Auditoria, abra-a e siga as instruções abaixo:
Configuração do computador -> Políticas -> Configuração do Windows -> Configurações de segurança -> Política local -> Política de auditoria
Precisamos ativar a auditoria de logon, essa política gera os eventos 4771 e 4624. Vamos defini-la como "Sucesso e falha".
Também precisamos definir a política de auditoria de eventos de logon como "Success and Failure" (Sucesso e falha), bem como "Account Management Audit" (Auditoria de gerenciamento de contas) para ver os eventos 4740.
Force uma atualização de política e execute gpupdate /force na máquina de destino.
Quais eventos rastrear no registro de segurança
Uma entrada de credencial incorreta gera o evento 4740, em todos os controladores de domínio. Com códigos de falha do Kerberos:
- - 6 - O nome de usuário não existe
- - 12 - Limite de tempo de login
- - 18 - Conta desativada, desabilitada ou expirada
- - 23 - Senha de usuário expirada
- - 24 - Falha na pré-autenticação (senha incorreta)
- - 32 - Ticket expirado
- - 37 - A hora do computador não foi sincronizada com a hora do domínio
Códigos de erro NTLM:
- - 3221225572 - C0000064 - Este nome de usuário não existe
- - 3221225578 - C000006A - Nome de usuário correto, mas senha incorreta
- - 3221226036 - С0000234 - Esta conta de usuário está bloqueada
- - 3221225586 - C0000072 - Conta desativada
- - 3221225583 - C000006E - Usuário tentando fazer logon fora do período de tempo especificado
- - 3221225584 - С0000070 - Limitação da estação de trabalho
- - 3221225875 - С0000193 - Conta expirada
- - 3221225585 - 0000071 - Senha expirada
- - 3221226020 - C0000224 - O usuário deve alterar a senha na próxima vez que fizer login
Como investigar a causa do bloqueio de conta
Abra o registro de eventos e vá para "Segurança", onde são coletados os EventIDs que podem ajudar a determinar o motivo do bloqueio. Há muitos eventos, portanto, filtre-os com "Filter Current Log", o que nos permitirá selecionar apenas os eventos que desejamos. No campo "Logged", especifique o período de tempo; no campo Event ID, especifique 4740 e clique em "Ok"
Use a pesquisa (Find) para localizar o nome da conta necessária nos registros filtrados. Por fim, os eventos devem ser filtrados pelo login especificado com o código 4740, onde podemos encontrar o motivo do bloqueio. Por exemplo, o campo "Caller Computer Name" contém o nome do computador de onde se originam os logons com falha que causam o bloqueio. Em seguida, você precisa ir ao computador de destino e inspecionar os logs de eventos para determinar por que essa máquina está tentando fazer login com credenciais inválidas.
Há outros motivos para o bloqueio que podem ser encontrados nos eventos 4740, como o nome do servidor Exchange em "Caller Computer Name" - isso significa que o problema é com o Outlook, o cliente de e-mail móvel ou seu calendário. Para investigar esse bloqueio, é necessário examinar os logs do IIS no servidor do Exchange. Ou você também pode usar o comando Get-ActiveSyncDeviceStatistics no PowerShell para ver o problema com os dispositivos móveis.
Microsoft ALTools
A Microsoft tem sua própria ferramenta para ajudá-lo a solucionar problemas de bloqueio de conta - Microsoft Account Lockout and Management Tool (AlTools.exe). Baixe o Account Lockout Status (LockoutStatus.exe) do Centro Oficial de Downloads da Microsoft
Essa ferramenta exibe informações sobre uma conta bloqueada com seu estado de usuário e tempo de bloqueio em cada controlador de domínio e permite que você a desbloqueie clicando com o botão direito do mouse na conta correspondente.
Execute LockoutStatus.exe > File > Select target > Enter account name and domain > OK
Ele mostrará todos os status relacionados ao bloqueio dessa conta.
Ferramenta EventCombMT
A ferramenta EventCombMT coleta eventos específicos de vários servidores diferentes em um local central.
Execute EventCombMT.exe > Clique com o botão direito do mouse em Select to search > Selecione Get DCs in Domain > Selecione os controladores de domínio a serem pesquisados. - Clique em Searches > Built In Searches > Account Lockouts.
Outras causas de bloqueio de contas de usuário
Se o problema de bloqueio for causado pelos serviços do Google Workspaces (Gmail, Gdrive...), os registros mostrarão que os logons com falha são provenientes do computador da estação de trabalho.
Além disso, os detalhes sobre o bloqueio podem ser vistos no evento 4771. Lá você pode encontrar os códigos Kerberos descritos acima e o endereço IP do dispositivo de onde estão vindo os logons com falha.
Se o "Caller Computer Name" do evento 4770 e o Client Address 4771 estiverem vazios, isso significa que você provavelmente está sofrendo força bruta!
Para descobrir a origem dos logons com falha nesse caso, você precisa ativar a depuração do "netlogon" e examinar seus logs. O Netlogon é um processo do Windows Server que autentica usuários e outros serviços no domínio. Ative o registro de log do Netlogon: Iniciar > Executar > digitar:
nltest /dbflag:2080ffffff > OKDepois de reiniciar o serviço Netlogon, a atividade correspondente pode ser registrada em %windir%/debug/netlogon.log.
Você também pode analisar os logs do Netlogon usando um script:
type netlogon.log |find /i "0xC000006A" > failedpw.txt type netlogon.log |find /i "0xC0000234" > lockedusr.txtAviso! Lembre-se de desativar o Netlogon depois de registrar os eventos, pois o desempenho do sistema pode ficar um pouco lento devido ao processo de depuração e ele usará espaço extra em disco. Desative o registro em log do Netlogon:
Start > Run > type:
nltest /dbflag:0 > OKNos logs, é possível encontrar os IPs dos computadores que não são mostrados nos logs de eventos, que podem ser servidores de terminal ou estações de trabalho RDP que estão sob ataque de força bruta de senha.
Vamos voltar ao registro de eventos de segurança. Outro evento útil com o código de evento 4776 também é onde você pode encontrar a estação de trabalho na qual está tentando fazer logon.
Se o endereço IP nos logs for desconhecido, você poderá procurar o endereço MAC no servidor DHCP ou no equipamento de rede e descobrir o fabricante do endereço MAC com serviços especiais, que podem ser facilmente encontrados na Internet. Isso é útil quando os logons com falha são provenientes de algum smartphone ou tablet.
Outra coisa útil seria examinar o evento 4625, onde você pode encontrar o processo que está causando o bloqueio da conta. Use o Process Hacker ou o Process Monitor para ver as credenciais dos processos ativos.
O Agendador de Tarefas do Windows pode ser o problema do bloqueio - pode haver uma tarefa configurada para ser executada usando uma conta cuja senha foi alterada.
Pode haver credenciais armazenadas no computador local, que podem ser encontradas desta forma:
Iniciar > Executar > rundll32 keymgr.dll, KRShowKeyMgr > OK.
Ou Netplwiz:
Start > Run > type: netplwiz > OK Clique na guia Advanced e, em seguida, clique em Password Management.
Uma sessão de servidor de terminal com credenciais desatualizadas pode causar um bloqueio. Para desativar uma sessão RDP, execute os seguintes comandos na linha de comando (Win+R > "cmd"), substituindo "server_ip", "name" e "password" pelas credenciais necessárias
net use server_ip /USER:name passwordIsso permite que você faça logon em um servidor remoto sem usar o RDP.
query session /server:nameSubstitua "name" pelo nome do servidor. Aqui você obtém o ID da sessão.
reset session id /server:server_ipIsso encerra a sessão ativa no servidor remoto.
O bloqueio de conta pode ser causado pela replicação do AD quando uma atualização de senha não tiver sido replicada para todos os controladores de domínio. Para forçar a replicação, execute o seguinte comando em seu DC:
repadmin /syncall /AdeP
