none
Reporte de conexion de usuario cada 10 min RRS feed

  • Pregunta

  • Trabaja con el adiplus y tengo este reporte cada 10 min:

    USER NAME CLIENT IP ADDRESS CLIENT HOST NAME DOMAIN CONTROLLER LOGON TIME EVENT TYPE FAILURE REASON ANALYZER DETAILS
    admin 192.168.25.10 Servidor1.dominio.local dc.dominio.loca may 07,2019 09:25:17 AM Failure Bad password Details

    Se repite cada 10 min, es como una tarea, un servicio que se ejectua, no bloquea mi usuario por failure bad password, si fuese inicio de sesiones normales si que las bloquearia pero esto puede estar asi todo el dia y no bloquea mi cuenta, la empresa de reporte dice que puede ser una tarea o un servicio pero he buscado y nada. cosas que he realizado:

    He buscado las tareas, comprodo los servicios, las app que corren al iniciar, no se por donde más buscar.



    ANALYZED COMPONENT COMPUTER NAME DETAILS
    Windows Services xxxxxx Nothing found...
    Scheduled Tasks xxxxx Nothing found...
    Network Drive Mappings xxxxxx
    Mapped Drive Mapped Using Credential Under User Profile
    q: - xxxxx
    r: - xxxxx
    s: - xxxxxx
    N: - xxxxx
    q: - xxxxx
    r: - xxxxxx
    s: - xxxxxx
    Y: - xxxxxx
    Z: - xxxxxx
    Logon Sessions xxxxx
    Logon using:RDP.Host Name xxxxxx.
    COM Objects xxxxx Nothing found...
    Process List xxxxx
    rdpclip.exe
    RuntimeBroker.exe
    sihost.exe
    svchost.exe
    taskhostw.exe
    explorer.exe
    ShellExperienceHost.exe
    SearchUI.exe
    ServerManager.exe
    vmtoolsd.exe
    egui.exe
    PRTG Enterprise Console.exe
    jusched.exe
    ApplicationFrameHost.exe
    Applications xxxxxx click here
    OWA xxxxxx Nothing found...
    ActiveSync xxxxxx Nothing found...



    martes, 7 de mayo de 2019 7:36

Todas las respuestas

  • ¿Eso es en Windows?

    No se ve como un mensaje de sistema, quieres checar tu solución de seguridad o antivirus.

    No dudes en ampliar más sobre este tema si es que aún lo requirieras o de abrir una nueva consulta en caso de tener alguna situación o necesitarla con algún otro de los productos de Microsoft.

     

    Adicional le invito a consultar los siguientes recursos:

    Guía para formular preguntas en el foro

    Channel 9 - donde puedes encontrar una sección de: _

     

    Gracias por usar los foros de TechNet.

    Erick Rivera

     ____

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.  

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de    conocimientos relacionados con los productos y tecnologías de Microsoft.   

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    martes, 7 de mayo de 2019 15:43
  • Perdona, igual al pegar se formateo mal. Si si es en windows. Desde el programa ADAudit plus monitoreo el controlador de dominio, accesos, cambios, fallos, etc. 

    Lo que me dice el programa es que cada 10 min. tengo la cuenta xxx.admin que es la que suelo utilizar para instalar todos los programas en el servidor de servicios con un fallo de password. Lo raro es:

    Si la cuenta xxxx.admin tuviera mas de 3 fallos se bloquearia.

    No encuentro servicios con el usuario xxx.admin ni tareas ejecutadas por el.

    Mi problema duda es: Por esa cuenta cada 10 min. hace eso?... Los de Eset y ADaudit plus me dicen que no es un virus y que parece todo bien, pero en auditoria me pediran de donde sale esto.

    Saludos, 

    martes, 7 de mayo de 2019 16:19
  • Hola oscarvalencia, faltan datos pero me animo a presumir de dónde puede venir el evento que nombras

    En ambiente de Grupo de Trabajo, el protocolo de autenticación es NTLM

    En ambiente de Active Directory el sistema trata de usar Kerberos, pero si no puede usa NTLM

    Dices que con ese usuario instalas todas las aplicaciones, así que bien puede ser que una aplicación "no bien hecha" haya instalado un servicio o se conecte periódicamente con un recurso o máquina. Revisa bien esto

    Ahora al tema, si la conexión se hace a un recurso usando el nombre de máquina se utiliza Kerberos, que entre otras cosas hace autenticación mutua. Pero si la conexión fuera usando dirección IP entonces no se puede hacer autenticación mutua, usa NTLM

    Los síntomas que das me dan para pensar que el problema debe venir por lo comentado, y por eso las autenticaciones fallidas no bloquean la cuenta

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 7 de mayo de 2019 19:33
    Moderador
  • Hola Guillermo, 

    Puede que por ahi vayan los tiros porque presisamente esa cuenta que la uso yo y soy el unico en la empresa que usa ip para todo en vez de nombre porque me cuesta más aprender los nombres que las ips. Ahora mi pregunta es donde puedo buscar?...Porque los servicios todos intento que corran con cuenta del sistema o de red, he revisado y no hay ninguno con mi nombre. Gracias de antemano por tu ayuda.


    oscar

    miércoles, 8 de mayo de 2019 13:26
  • En el log de windows esto es lo que me sale:

    Error de autenticación previa de Kerberos.

    Información de cuenta:
    Id. de seguridad: Dominio\oscaradmin
    Nombre de cuenta: oscar.admin

    Información de servicio:
    Nombre de servicio: krbtgt/dominio.local

    Información de red:
    Dirección de cliente: ::ffff:192.168.25.10
    Puerto de cliente: 19431

    Información adicional:
    Opciones de vale: 0x40810010
    Código de error: 0x18
    Tipo de autenticación previa: 2

    Información de certificado:
    Nombre de emisor de certificado:
    Número de serie de certificado:
    Huella digital de certificado:

    La información de certificado solo se proporciona si se usó un certificado para la autenticación previa.

    Los tipos de autenticación previa, las opciones de vale y los códigos de error se definen en RFC 4120.


    oscar


    • Editado oscartk miércoles, 8 de mayo de 2019 15:36
    miércoles, 8 de mayo de 2019 15:36
  • Buenas prácticas :)

    - Los servicios deben ejecutarse con una cuenta dedicada, nunca la que usa un usuario y menos aún la de un admin que tiene privilegios totales

    - Las conexiones hay que hacerlas siempre por nombre de máquina, es un tema de seguridad, y para que se use Kerberos que es mucho más seguro que NTLM

    - Si te cuesta más recordar los nombres que le pones a las máquinas que las direcciones IP, es que no has elegido una buena sintaxis para los nombres ¿o eres una máquina y no un humano' ja ja ja

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 8 de mayo de 2019 18:34
    Moderador
  • Normalmente "Kerberos pre-authentication" no se utiliza, salvo en implementaciones con Linux/Unix

    Y para tener una pista es buen dato el tema de IP de origen, que me suena raro ese "FFFF: ...." ¿han estado jugando o están usando IPv6?

    Algo más, en el cliente revisa con NETSTAT, porque teniendo el puerto que está usando puedes ver a qué IP/Puerto se está conectando, e inclusive puede visualizar el "Process ID"

    Luego puedes visualizar en el Task Manager del servidor a qué corresponde ese "Process ID"

    Y algo más, vuelve a leer mi mensaje anterior sobre buenas prácticas :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 8 de mayo de 2019 18:39
    Moderador
  • + data...
    Si deseas ver si el usuario está ligado a algun servicio ejecuta esto:

    Get-WmiObject win32_service | Where-Object {$_.startname -like "userx"} | Format-List name,startname

    Tambien miraría User Rights Assignment.

    Saludos.
    jueves, 9 de mayo de 2019 0:48
  • Muchas gracias Guillermo, si si tenemos cuentas solo de servicios que no permiten loguearse en los ordenadores y servidores, en cuanto a lo de los nombres también se que es buena práctica el problema es que los nombres los pusimos en base a una plantilla y son un poco lioso, pero después  de esto me pongo con los nombres mejor, así descartamos cosas. Oye muchicimas gracias por tus aportes. 

    Saludos, 


    oscar

    jueves, 9 de mayo de 2019 11:12
  • Hola Ignacio, esto es lo mismo que ver los servicios desde el entorno grafico, lo he mirado y nada, no sale servicios a la cuenta oscar, no se donde más buscar.

    Saludos y gracias


    oscar

    jueves, 9 de mayo de 2019 16:05
  • Buenas

    Sigo, igual. Alguna otra idea?

    Saludos, 


    oscar

    miércoles, 29 de mayo de 2019 8:27