Possíveis causas de bloqueio de usuário no Active Directory
Essa situação ocorre em empresas que têm uma política de bloqueio de conta quando um determinado número de senhas incorretas é inserido, o que é correto do ponto de vista da segurança cibernética, pois ajuda a proteger contra ataques de força bruta.
Algumas das principais causas de bloqueio são:
- Mapeamento constante de unidades com credenciais antigas
- Dispositivos móveis que usam serviços corporativos com credenciais antigas
- Contas de serviço que usam senhas em cache que foram alteradas durante a manutenção
- Tarefas programadas com senhas desatualizadas
- Programas que usam senhas em cache que foram alteradas
- Sessões de servidor de terminal desconectadas
- Problemas com a replicação do Active Directory
- Configurações de política de domínio inadequadas
- Atividade maliciosa, como ataques de força bruta de senha
Onde configurar a política de bloqueio de conta
Abra o Editor de Política de Grupo e crie uma nova política, nomeando-a, por exemplo, "Política de bloqueio de conta". Clique com o botão direito do mouse e selecione Editar.
- Defina o tempo até que o contador de bloqueio seja redefinido para 30 minutos
- O limite de bloqueio é de 5 erros de login
- Duração do bloqueio da conta: 30 minutos
Feche, aplique a política e execute gpupdate /force na máquina de destino.
Como descobrir por que a conta foi bloqueada
Para investigar a causa do bloqueio, é necessário configurar uma política de auditoria especial que registre os eventos de logon. Abra novamente o Editor de Política de Grupo (gpmc.exe), crie uma Política de Auditoria e siga os passos:
- Configuração do computador → Políticas → Configuração do Windows → Configurações de segurança → Política local → Política de auditoria
- Ativar auditoria de logon (gera os eventos 4771 e 4624) com Sucesso e Falha
- Ativar Auditoria de Gerenciamento de Contas para monitorar eventos 4740
Force a atualização de política com gpupdate /force.
Quais eventos rastrear no registro de segurança
Uma entrada de credencial incorreta gera o evento 4740. Os códigos de falha Kerberos mais comuns são:
- 6 - O nome de usuário não existe
- 12 - Limite de tempo de login
- 18 - Conta desativada, desabilitada ou expirada
- 23 - Senha de usuário expirada
- 24 - Falha na pré-autenticação (senha incorreta)
- 32 - Ticket expirado
- 37 - A hora do computador não foi sincronizada com a hora do domínio
Códigos de erro NTLM:
- 3221225572 - C0000064 - Este nome de usuário não existe
- 3221225578 - C000006A - Nome de usuário correto, mas senha incorreta
- 3221226036 - C0000234 - Esta conta de usuário está bloqueada
- 3221225586 - C0000072 - Conta desativada
- 3221225583 - C000006E - Usuário tentando fazer logon fora do período de tempo especificado
- 3221225584 - C0000070 - Limitação da estação de trabalho
- 3221225875 - C0000193 - Conta expirada
- 3221225585 - 0000071 - Senha expirada
- 3221226020 - C0000224 - O usuário deve alterar a senha na próxima vez que fizer login
Como investigar a causa do bloqueio de conta
Abra o registro de eventos em "Segurança" e filtre pelo Event ID 4740. Use a função de pesquisa para localizar a conta bloqueada e verifique o campo Caller Computer Name para identificar a origem.
Outras causas podem estar associadas a servidores Exchange, Outlook ou dispositivos móveis. Para análise avançada, use comandos do PowerShell como Get-ActiveSyncDeviceStatistics ou ferramentas da Microsoft.
Microsoft ALTools
A Microsoft Account Lockout and Management Tool ajuda a monitorar e desbloquear contas. Baixe o LockoutStatus.exe aqui.
Ferramenta EventCombMT
Coleta eventos de vários servidores em um local central. Execute EventCombMT.exe e configure a busca por Account Lockouts.
Outras causas de bloqueio de contas de usuário
Problemas com Google Workspace, sessões RDP antigas, credenciais armazenadas localmente e replicação incompleta do AD podem gerar bloqueios. Use ferramentas como Process Monitor, Netlogon.log e comandos repadmin /syncall /AdeP para diagnosticar e resolver.
Conclusão
O bloqueio de contas no Active Directory pode ser causado por diversos fatores, desde credenciais desatualizadas até ataques maliciosos. Seguindo este guia, você pode identificar rapidamente a origem do problema, aplicar políticas de auditoria eficientes e usar ferramentas especializadas para resolver o bloqueio. Manter boas práticas de gerenciamento de contas e monitoramento contínuo ajuda a reduzir incidentes e garante maior segurança na sua rede corporativa.
FAQ (Perguntas Frequentes)
- O que causa o bloqueio de contas no Active Directory? Credenciais desatualizadas, tarefas programadas, replicação incompleta, ataques de força bruta e erros de configuração de políticas.
- Como posso descobrir de qual computador veio o bloqueio? Use os eventos 4740 no registro de segurança e verifique o campo Caller Computer Name.
- Quais ferramentas ajudam a solucionar bloqueios? LockoutStatus.exe da Microsoft, EventCombMT, Netlogon.log e PowerShell com Get-ActiveSyncDeviceStatistics.
- Como prevenir futuros bloqueios? Atualize credenciais em todos os dispositivos, configure auditoria de logon, monitore tarefas programadas e mantenha replicação do AD sincronizada.