Herramienta de bloqueo de cuentas: seguimiento de eventos de bloqueo de anuncios

Creo que todos podemos estar de acuerdo, la resolución de problemas con bloqueos de cuenta accidentales puede ser un problema grave.

El usuario llama al servicio de soporte, desbloqueas su cuenta, en 5 minutos vuelve a llamar con otro bloqueo. En este punto, todos están decepcionados y nadie sabe qué diablos está causando los cierres patronales.

Tengo buenas noticias.

Existen herramientas de bloqueo de cuentas que pueden ayudar y descubrir rápidamente el origen del problema.

En esta publicación, lo guiaré a través del proceso exacto paso a paso que utilizo para rastrear la fuente de un bloqueo de cuenta accidental.

[fl_builder_insert_layout slug=”in_contect_sw_adminbundle”]

Existen muchas herramientas de Active Directory que pueden ayudar a solucionar los bloqueos de cuentas, pero mi favorita es la Herramienta de administración y bloqueo de cuentas de Microsoft. Es gratis, simple, fácil de usar y viene completo con varias herramientas.

Índice

    Razones comunes para bloquear su cuenta:

    Tenga en cuenta esta lista cuando solucione problemas de bloqueos de cuentas, el 99% de los bloqueos de cuentas son causados ​​por uno de los elementos de esta lista.

    1. Dispositivos móviles

    Los teléfonos y otros dispositivos móviles pueden tener múltiples aplicaciones que requieren credenciales de Active Directory, incluido Outlook. Si un usuario cambia su contraseña de AD, es posible que también deba actualizar sus aplicaciones móviles. Como cada vez más usuarios tienen múltiples dispositivos móviles, esta suele ser la causa del №1 debido a bloqueos accidentales.

    2. Servicios

    He visto servicios que funcionan como una cuenta de usuario normal. Esto causará algunos problemas de bloqueo si el usuario cambia su contraseña. Puede abrir la consola de servicios y ver en qué cuenta están configurados para ejecutarse. Si el servicio va a funcionar como una cuenta de red, es mejor crear una cuenta de servicio y establecer una contraseña para que nunca caduque. Si no necesita acceso a la red, conviértalo en una cuenta local.

    3. Tareas

    Al igual que los servicios, las tareas programadas a menudo se configuran con credenciales de usuario en lugar de una cuenta de servicio. Verifique las tareas programadas y asegúrese de que estén configuradas para ejecutarse bajo una cuenta de servicio.

    5. sesiones RDP

    Las sesiones de RDP a menudo se cierran en lugar de cerrar sesión, por lo que la sesión de RDP permanece conectada. Si no tiene una política que lo obligue a cerrar la sesión después de un cierto período de tiempo, los usuarios pueden permanecer obsoletos en las sesiones RDP. Es mejor abandonar las sesiones de RDP después del final.

    6. Servicios de autenticación LDAP

    Es como un servicio, pero lo menciono por separado porque hay muchas aplicaciones que utilizan la autenticación de Active Directory.
    Para que esto funcione, la aplicación necesita configurar una cuenta que pueda leer objetos AD. He visto cómo se utilizan las cuentas individuales para esto. Además de servicios y tareas, es mejor crear una cuenta de servicio.

    7. Error de usuario

    Los usuarios simplemente ingresan su contraseña incorrectamente. Por lo general, esto no da lugar a la coincidencia, sigue bloqueando, pero crea llamadas a soporte.

    Paso №1: Requisitos

    Deben establecerse los siguientes requisitos; de lo contrario, la herramienta de bloqueo no funcionará correctamente.

    1. La política de auditoría debe establecerse en todas los ordenadores y controladores de dominio, detalles a continuación. Recomiendo usar la Política de grupo para administrar las políticas de auditoría en todas los ordenadores.

    2. Debe tener permiso para ver los registros de seguridad en los controladores de dominio y los ordenadores.

    Configurar una política de auditoría mediante la política de grupo

    Para los controladores de dominio, configure la política de auditoría en la política de controlador de dominio predeterminada.
    Para los ordenadores, puede establecer esto en la política de dominio predeterminada.

    Para obtener sugerencias sobre la política de dominio predeterminada, consulte mi Guía de mejores prácticas de políticas de grupo.

    1. En la Consola de administración de políticas de grupo, expanda Configuración del equipo> Políticas> Configuración de Windows> Configuración de seguridad> Políticas locales> Política de auditoría

    2. Incluir auditoría de eventos de inicio de sesión y auditoría de eventos de inicio de sesión, incluir tanto el éxito como el fracaso.

    ¿Cuál es la diferencia entre los dos parámetros de política?

    Auditoría de eventos de inicio de sesión: Para las cuentas de dominio, esta política registrará los eventos de inicio/salida del controlador de dominio. Por lo tanto, cuando inicie sesión en un dominio, los eventos se registrarán en el controlador de dominio.
    Eventos de auditoría al iniciar sesión: Esta política registrará los eventos de entrada/salida de la estación de trabajo.

    Paso № 2: Descargar e instalar

    La instalación simplemente extrae el contenido a una carpeta de su elección.

    1. Descargue las herramientas de administración y bloqueo de cuentas de Microsoft aquí>
    https://www.microsoft.com/en-us/download/details.aspx?id=184652.

    2. Aceptar la licencia de usuario final

    3. Ingrese la ubicación donde desea obtener las herramientas.


    4. La instalación está completa

    Una vez que se extrae el archivo, debe tener una lista de archivos como se muestra a continuación. La descarga contiene algunos archivos y herramientas, pero para rastrear las fuentes de los problemas de bloqueo de cuentas, solo usaré la herramienta LockOutStatus.exe.

    Paso №4: Ejecute Lockoutstatus.exe

    1. Ejecute la herramienta Lockoutstatus.exe desde la carpeta que extrajo

    2. Archivo> Seleccionar destino

    3. En el campo de nombre de usuario de destino, ingrese el nombre de usuario (también llamado SAMAccountName).

    4. Introduzca su dominio en el dominio de destino

    5. Haga clic en Aceptar

    Ahora debería ver el estado de bloqueo de la cuenta que seleccionó.

    Presta atención a estas columnas:

    Estado del usuario: bloqueado
    Tiempo de bloqueo: si está bloqueado, no coincide con el tiempo de bloqueo exacto
    Un bloque de organización es el controlador del dominio en el que se bloqueó originalmente.

    En mi ejemplo, el usuario testguy está bloqueado, la hora de bloqueo es a las 7:14:40 am y su Orig Lock es srvung011.

    Ahora que tenemos esta información, pasemos a los siguientes pasos.

    Paso № 5: Ubique el ordenador de la persona que llama (ordenador de origen)

    1. Abra el visor de eventos en el servidor que se muestra en Orig Lock

    2. Navegue a los registros de seguridad

    3. Filtro de eventos y para ID 4740

    Haga clic derecho en Seguridad y seleccione Filtrar registro actual

    Ingrese el ID de evento 4740 en el campo de ID de evento

    Haga clic en Aceptar

    Ahora solo debería ver los eventos 4740. Busque el evento que ocurrió en la fecha y hora especificadas por la herramienta.

    Por las revistas veo que los bloqueos provienen de una PC llamada V001. Ahora que conoce el ordenador de origen, es posible que ya sepa qué está causando el problema. De lo contrario, vaya al paso №6 para encontrar más información sobre qué es exactamente lo que está causando el bloqueo en la fuente.

    Paso №6: Ver registros en el ordenador del suscriptor

    Si los pasos anteriores han revelado el ordenador de la persona que llama y aún necesita más información, siga estos pasos.

    1. Abra los registros de eventos de seguridad en el ordenador del suscriptor y vea los registros con el tiempo de bloqueo exacto. Dependiendo de la causa del bloqueo, el eventid será diferente. En mi ejemplo, este es el ID de evento 4625.

    Mirando los detalles, puedo procesar winlogon.exe e iniciar sesión tipo 2. Una búsqueda rápida en Google me dice que este evento se crea cuando un usuario intenta iniciar sesión con un teclado local. Entonces esto me dice que el usuario simplemente está ingresando la contraseña incorrecta en la pantalla de inicio de sesión de Windows.

    Aquí hay 6 pasos simples para solucionar problemas de bloqueo de cuenta.

    El siguiente es otro ejemplo donde la fuente está bloqueada desde el teléfono móvil del usuario.

    Ejemplo 2

    En este ejemplo, estoy bloqueando una cuenta desde un dispositivo móvil. Los pasos son los mismos que los anteriores. Solo quiero ver que el controlador de dominio de bloqueo original puede ser diferente y que el proceso o servicio puede ser diferente en el ordenador de origen.

    La cuenta fue bloqueada en DC1 esta vez a las 7:27:25 am

    Filtre los registros de eventos a DC1 y mire los detalles del ordenador de la persona que llama.

    GENETECMOBILE es la fuente.

    Cuando reviso los registros de eventos en GENTECMOBILE, veo el archivo ejecutable en los archivos de programa de genetec.

    Con esta información sé que el usuario está intentando autenticarse con la aplicación en su dispositivo móvil.

    ¿Qué sucede si no hay un ordenador del suscriptor?

    Aquí hay algunos consejos si no tiene un ordenador de suscriptor en EvenID 4740.

    • Pida al usuario que verifique dos veces su dispositivo móvil y asegúrese de que haya actualizado la contraseña en todas las aplicaciones. Esta es una razón común para los bloqueos número 1, así que lo menciono nuevamente.
    • Deshabilite ActiveSync y OWA para ver si el usuario deja de bloquear. Si esto se soluciona, deben actualizar sus credenciales móviles.
    • Pida al usuario que trabaje en otra ordenador durante el día. Las credenciales antiguas se pueden guardar en la aplicación local o en el navegador del usuario. Trabajar con otra ordenador durante el día puede ayudar a reducir el círculo si el problema está en el ordenador.

    Otras herramientas:

    Comprueba el bloqueo de tu cuenta de Netwrix - Esta herramienta detecta el bloqueo de cuentas en tiempo real y puede enviar alertas por correo electrónico. Probé esta herramienta y mostró un bloqueo de cuenta en tiempo real, pero tuvo problemas para encontrar la fuente del bloqueo de cuenta.

    Potencia Shell - Artículo del autor del script de TechNet que explica cómo usar PowerShell para encontrar usuarios que han bloqueado una ubicación. El script hace básicamente lo que hace la herramienta lockoutstatus. Si usa PowerShell, este puede ser un script muy útil. Básicamente, puede automatizar los pasos que presenté.

    Esperamos que este artículo le haya ayudado a encontrar el origen del bloqueo de cuentas en su entorno. Si tiene alguna pregunta, deje un comentario a continuación.

    Ver también: Cómo encontrar y eliminar cuentas antiguas de usuario y de ordenador

    Artículos de interés

    Subir