none
Cuentas bloqueadas RRS feed

  • Pregunta

  • Buenos dias.

    Quisiera saber si existe alguna forma de saber desde que equipo un usuario ingreso mal su contraseña motivo por el cual se bloqueo su cuenta. He aplicado politicas de bloqueo de cuenta y algunos usuarios me dicen que se les bloquea la cuenta, por lo que quiero saber si alguien esta tratando de iniciar sesion y falla.

    Existe algun atributo o forma de consultar esto, asi como el numero de intentos fallidos?

    Saludos.


    OrlandoP

    jueves, 3 de mayo de 2012 14:06

Respuestas

  • Hola,

    En el Domain Controller, puedes buscar los eventos de Seguridad con ID 644 (DC Windows Server 2003) o ID 4740 (DC Windows Server 2008).

    En los mismos tiene que indicar desde que equipo se produjo el bloqueo.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    jueves, 3 de mayo de 2012 14:11
    Moderador
  • Hola,

    El intento fallido de logeo de un usuario hasta llegar a su bloqueo cuando la cantidad de intentos llega a lo definido por politica en tu dominio, es ni mas ni menos ingresar mal la clave del mismo, no si se tiene o no permisos, por ejemplo en un terminal server, si no tengo permisos para logearme pero la clave que ingreso es la correcta, no se me va a bloquear la cuenta por mas que intente muchas veces, simplemente no voy a poder entrar a ese terminal.

    Ahora si ingreso mal la clave, tenga o no permisos, el usuario se bloqueara. El inicio de sesion de un usuario es cuando viaja el ticket de kerberos pidiendo autenticacion, dando correctamente si la clave es valida o incorrecto si no es la clave del usuario.

    Todo medio en la cual requiera autenticacion (usuario y clave) se toma como inicio de sesion en el domain controller, puede ser una sesion de terminal, servicio, script, tarea programada, programa que tiene configurado el usuario y clave, etc...

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    viernes, 4 de mayo de 2012 0:58
    Moderador
  • Buenos Dias,

    En el caso de OWA puedes mirar los logs de IIS para ver desde que IP se ha logueado el usuario, mismo me ha pasado en ocasiones detectar algun telefono con credenciales incorrectas, mediante los logs de IIS. En el caso de terminal services es un poco mas complicado tomar la informacion con una traza de red como bien menciona leo, si es que el incoveniente no es frecuente, aunque habilitar la auditoria en el Terminal Services tal vez podria darte algo mas de informacion.


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos

    viernes, 4 de mayo de 2012 13:25
    Moderador

Todas las respuestas

  • Hola,

    En el Domain Controller, puedes buscar los eventos de Seguridad con ID 644 (DC Windows Server 2003) o ID 4740 (DC Windows Server 2008).

    En los mismos tiene que indicar desde que equipo se produjo el bloqueo.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    jueves, 3 de mayo de 2012 14:11
    Moderador
  • Gracias.

    He logrado identificar los equipos desde donde se produce el bloqueo (asumo que es luego del umbral de intentos fallidos) y resulta que dos de los equipos son servidores; uno de ellos Terminal Server y otro Exchange. En el caso del Terminal Services hay forma de saber desde donde trataron de conectarse? y en el caso del Exchange, ese logon fallido puede ser por acceso a OWA?.

    Este problema es grave xq no puedo identificar quien puede estar tratando de loguearse con otra cuenta y bloquea a un usuario. Hay forma de evitarlo?

    Saludos.


    OrlandoP


    • Editado OrlandoP jueves, 3 de mayo de 2012 15:34
    jueves, 3 de mayo de 2012 15:30
  • Hola,

    Por el caso del Terminal Server, tienes que ver con un Network Monitor o desde el Manager del Terminal pero en tiempo real, no historicos como eventos.., habria que ver siendo mas acotado con las politicas de seguridad en el TS si hay forma de auditarlo.., otra opcion es si tienes un Firewall fisico delante de TS que audite los accesos al equipo...

    Por el caso del Exchange, seguramente sea el OWA...si el equipo tiene en cuestion es un CAS que brinda servicio OWA, puede ser desde ahi, sino es desde el cliente de correo pero en este ultimo caso, en el evento de bloquea estaria el equipo del usuario y no el server Exchange.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    jueves, 3 de mayo de 2012 15:34
    Moderador
  • Hola.

    Para el caso del exchange, entonces me dices que deberia salir el nombre del equipo desde donde esta ingresando a OWA sea desde fuera o dentro de la organizacion?

    En el visor de sucesos sale lo siguiente:

    Nombre de equipo del autor de la llamada: xxAAABB

    Entonces el nombre que aparece ahi, es el nombre del equipo desde de se intento loguear y provoco el bloqueo de la cuenta? Bueno ahi aparece el nombre de mi servidor CAS Exchange.

    Saluds.


    OrlandoP

    jueves, 3 de mayo de 2012 16:42
  • Hola,

    Hablo siempre del evento en el Domain Controller, no en el Exchange, si el bloqueo se produce desde OWA, en el evento de AD estara el nombre del servidor Exchange con el rol de CAS, por el contrario si es desde el cliente, en el evento del Domain Controller estara el nombre de la PC donde esta el usuario.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    jueves, 3 de mayo de 2012 17:12
    Moderador
  • Gracias.

    Una consulta: desde donde se consideran inicios de sesión? loguearse desde un equipo, OWA, iniciar un servicio con una cuenta de dominio, escritorio remoto, terminakl services?? Quisiera saber eso como para darme una idea xq sucede este problema que te comento, hasta el momento tengo 2 usuarios a los cuales se les bloquea la cuenta cada cierto tiempo y segun auditoria todo proviene de intentos invalidos en el servidor de terminal, y da la casualidad que ellos no tienen acceso a dicho servidor (no pertenecen al grupo de escritorio remoto).

    Si usuario no tiene permitido iniciar sesión en un equipo especifico, tambien se le cuenta como intento fallido de inicio de sesión?

    Saludos.


    OrlandoP

    jueves, 3 de mayo de 2012 20:28
  • Hola,

    El intento fallido de logeo de un usuario hasta llegar a su bloqueo cuando la cantidad de intentos llega a lo definido por politica en tu dominio, es ni mas ni menos ingresar mal la clave del mismo, no si se tiene o no permisos, por ejemplo en un terminal server, si no tengo permisos para logearme pero la clave que ingreso es la correcta, no se me va a bloquear la cuenta por mas que intente muchas veces, simplemente no voy a poder entrar a ese terminal.

    Ahora si ingreso mal la clave, tenga o no permisos, el usuario se bloqueara. El inicio de sesion de un usuario es cuando viaja el ticket de kerberos pidiendo autenticacion, dando correctamente si la clave es valida o incorrecto si no es la clave del usuario.

    Todo medio en la cual requiera autenticacion (usuario y clave) se toma como inicio de sesion en el domain controller, puede ser una sesion de terminal, servicio, script, tarea programada, programa que tiene configurado el usuario y clave, etc...

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    viernes, 4 de mayo de 2012 0:58
    Moderador
  • Gracias,

    El bloqueo de cuentas por intentos fallidos me esta dando un dolor de cabeza, porque de alguna forma los usuarios "con mala intención" podria tratar de loguearse via escritorio remoto a mis servidores y bloquearian la cuenta de administrador de dominio y en la auditoria saldria el equipo desde donde se intento loguear que seria el servidor terminal y no el equipo desde donde trataron de conectarse via escritorio remoto, por lo cual no me va dar el origen o el posible causante de los bloqueos de las cuentas.

    Existe alguna forma de evitar estos inconvenientes o identificar el origen? xq es un hecho que a veces ciertos usuarios van a bloquear su propia cuenta, pero como controlo que los usuarios no usen otras cuentas y las bloqueen intencionalmente? ya he observado en la auditoria algunos bloqueos de la cuenta de administrador de dominio y apuntan a mi servidor terminal.

    Saludos.


    OrlandoP

    viernes, 4 de mayo de 2012 5:02
  • Hola,

    Como ya conte en un post anterior, mediante NetWork Monitor permanente haciendo un resguardo de logs o un FW delante del TS.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    viernes, 4 de mayo de 2012 12:09
    Moderador
  • Buenos Dias,

    En el caso de OWA puedes mirar los logs de IIS para ver desde que IP se ha logueado el usuario, mismo me ha pasado en ocasiones detectar algun telefono con credenciales incorrectas, mediante los logs de IIS. En el caso de terminal services es un poco mas complicado tomar la informacion con una traza de red como bien menciona leo, si es que el incoveniente no es frecuente, aunque habilitar la auditoria en el Terminal Services tal vez podria darte algo mas de informacion.


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos

    viernes, 4 de mayo de 2012 13:25
    Moderador