none
Autenticacion de Usuarios en AD RRS feed

  • Pregunta

  • Hola

    estoy tratando de identificar el proceso de autenticacion de un usuario, desde su estacion de trabajo en un dominio.

    Me explico. Estoy registrando por seguridad los fallos de autenticacion en los controladores de dominio y estoy haciendo unas pruebas con unos equipos Windows 7 y Windows 10.

    El caso es que cuando arranco las estaciones de trabajo (windows 7 y windows 10) y fallo en las autenticaciones, esos fallos se registran en los equipos locales, pero no se registran en los controladores de dominio.

    Pero si los equipos windows 7 y windows 10 tienen la sesion iniciada y la bloqueo, al tratar de desbloquear la sesion, esos fallos de inicio de sesion SI SE REGISTRAN en los Controladores de Dominio. 

    ES CORRECTO?

    Existe alguna forma de que los eventos de inicio de sesion cuando arrancan los equipos, sean registrados por los Controladores de Dominio

    Gracias

    lunes, 30 de septiembre de 2019 9:44

Todas las respuestas

  • Hola aomalaina, comento cóno es el proceso de autenticación en ambiente de Dominio

    Cuando un usuario que ya ha iniciado sesión anteriormente en una máquina, el sistema trata de autenticarlos usando la información que hay localmente en el perfil de usuario, esto es conocido como "cached credentials". Y por eso cuando está mal, la contraseña se loguea sólo localmente

    Además, por omisión, el sistema permite el inicio de sesión inclusive antes que levanten los servicios de red

    Esta es una técnica que implementó Microsoft ya hace muchas versiones, creo que desde XP

    Pero el proceso de desbloqueo trabaja en forma totalmente diferente, en este caso sí, debe contactar a los Controladores de Dominio

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 30 de septiembre de 2019 11:18
    Moderador
  • Entonces, no tengo forma de monitorizar un posible ataque de inicios de usuarios diferentes en un mismo puesto cliente si monitorizo los controladores de dominio?
    lunes, 30 de septiembre de 2019 11:24
  • Entonces, teniendo SOLO acceso a los logs de los CD, no tengo forma de monitorizar un posible ataque de inicios de usuarios diferentes en un mismo puesto cliente?
    lunes, 30 de septiembre de 2019 11:31
  • Respondo a ambos comentarios acá

    Sí, hay forma, con creatividad :)

    En los eventos del cliente, si haces botón derecho sobre el evento permite generar una acción. Busca para que te avise, de alguna de las formas posibles

    Si eres administrador tienes acceso a todos los logs de todas las máquinas del Dominio, arriba te muestro una forma para que sin ir uno a uno puedes estar informado

    Por otra parte, el manejo de los logs de seguridad de Windows es muy detallado, lo que hace que muchas veces la interpretación no sea algo fácil como muchos imaginan

    El que quiere manejar con mucho nivel de detalle el tema de seguridad generalmente termina utilizando un aplicación de tercero que hace amigable al sistema y además provee información adicional

    No me preguntes, cuál apliación usar porque actualmente no estoy con ese tema, pero recuerdo una que usaba en NT4 que analizaba los logs y era capaz de generar automáticamente alertas y gráficos. Un ejemplo: siempre hay un porcentaje de "bad logon" por ejemplo 2% promedio. Esta aplicación generaba una alerta si un día llegaba por ejemplo a un 4%, e indica un posible problema. Algo que es muy difícil de interpretar sólo mirando los logs, te consumiría todo el día de trabajo de una persona :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 30 de septiembre de 2019 14:40
    Moderador