Remove From My Forums

conta de usuario bloqueando aleatoriamente

Pergunta
0

Entrar para Votar

Tenho um usuario no dominio cuja conta esta bloqueando aleatoriamente, mesmo ele nao estando logado e a estação simplesmente bloqueada. Ha dias que o bloqueio ocorre 3 vezes por dia, ha dia que nao ocorre e assim vai.

Ja tentei varios procedimentos para descobrir qual aplicação esta causando o bloqueio mas nao consigo.

Ja verifiquei logs (segurança, sistema, aplicativos) mas nada de concreto.

Ja refiz perfil de usuario no windows, ja desativei algumas coisas para testar , etc. Porém esta um verdadeiro mistério.

Gostaria de auxilio, sobre uma forma mais efetiva onde eu possa descobrir o que esta causando o bloqueio (aplicação, serviço, etc)

Preciso descobrir a fonte podem me ajudar?

quarta-feira, 9 de fevereiro de 2011 17:14

Respostas

0

Entrar para Votar
Bom dia.

Verifique se tem algum serviço configurado para ser executado utilizando a conta do usuário.

Verifique também se algum software que ele utiliza, autentica usando a senha do Windows e se a senha não esta salva errada.

Pode ser também um mapeamento ou uma impressora mapeada que esta com a senha antiga salva.

Abraço.
Se útil, classifique.
Matheus M. Bertuco
MCT, MCSA, MCTS, MCP.
http://matheusbertuco.wordpress.com/
- Sugerido como Resposta Matheus M. Bertuco quinta-feira, 19 de maio de 2011 14:55
- Marcado como Resposta Matheus M. Bertuco segunda-feira, 23 de maio de 2011 14:12
quinta-feira, 19 de maio de 2011 14:55

Todas as Respostas

0

Entrar para Votar

Pessoal,

Segue o meu ambiente:

Meu ambiente tem symantec endpoint, client isaserver, client backupexec symantec, iexplorer 8, windows 7, aplicativos diversos de uso operacional.

Voces sabem quais os serviços do windows que usam as credenciais do usuario de dominio para algum tipo de tarefa?

Talvez meu problema possa estar ai?

quinta-feira, 10 de fevereiro de 2011 11:49
0

Entrar para Votar

Olá crisfralves,

Acredito que o primeiro ponto é descobrir quem está travando a sua conta de usuário. Vou dar umas dicas de alguns logs de auditoria que acho que podem te ajudar.

Na Default Domain Controller Policy, você vai precisar habilitar alguns logs de auditoria. Abra o GPMC, edite a policy Default Domain Controllers Policy ou crie uma nova ligada à OU Domain Controllers:

Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy

Marque as opções (Sucesso e Falha)

         Audit account logon events

         Audit Account Management

A primeira opção vai registrar nos logs de Segurança do Event Viewer, todas as tentativas de logon que cada domain controller recebe. Este log vai registrar um evento com os seguintes dados:

Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Logon account: NomeDoUsuario

Source Workstation: NomedaEstação

Error Code: 0x0

A idéia desta auditoria é você saber em qual máquina o usuário está tentando se logar (e falhando para a senha ser travada).

A segunda opção, no momento em que a senha for travada, como a conta foi alterada, você vai registrar um log de segurança falando que a conta do usuário foi travada e de onde foi travada.

Acho que isso vai te ajudar a descobrir o que está acontecendo ou pelo menos quem está travando a conta.

Abraço e boa sorte,


Se foi útil, não se esqueça de Marcar como Resposta. Cláudio Costa - http://claudio-costa.blogspot.com

quinta-feira, 10 de fevereiro de 2011 12:37
0

Entrar para Votar

Neste caso, ja sei que a maquina que esta bloqueando o usuario é a propria maquina dele.

Porém necessito saber qual processo, aplicação ou serviço esta causando isso.

Ha alguma auditoria local no windows 7 que me permite ver isso?

quinta-feira, 10 de fevereiro de 2011 12:46
0

Entrar para Votar
Bom dia Crisfravles!

Existe um clássico caso onde ocorrem esse sintomas que o senhor descreve. Verifique se o vírus conficker se encontra na rede!

É uma falha no AD, ele entra e desabilita as contas. Não sei te responder se ele faz isso na máquina local.

Espero ter ajudado.
- Sugerido como Resposta Jonny Moura sexta-feira, 11 de fevereiro de 2011 11:28
quinta-feira, 10 de fevereiro de 2011 13:07
0

Entrar para Votar

Ja tinha verificado também esta possibilidade!

mas nao econtrei nenhum vestigio.

quinta-feira, 10 de fevereiro de 2011 13:20
0

Entrar para Votar

crisfravels, você pode criar uma auditoria para isso! Assim você pode criar uma base de dados para avaliar melhor a causa do problema!

O event viewer do windows permite criar esse tipo de monitoramento.

quinta-feira, 10 de fevereiro de 2011 17:45
0

Entrar para Votar

QUAL SERIA A IDEAL PARA ISSO?

quinta-feira, 10 de fevereiro de 2011 18:41
0

Entrar para Votar

Olá Crisfralves,

Neste caso, já que você já sabe qual máquina está bloqueando e é a própria máquina do usuário,eu consigo pensar em algumas possibilidades para os casos normais:

1 - Algum serviço instalado, dentro do gerenciador de serviços, que está configurado para executar usando a conta do usuário;

2 - Algum atalho, script ou executável que está configurado para executar passando usuário e senha, talvez com o runas;

3 - Alguma tarefa agendada que está programada para executar no contexto do usuário

Os casos anormais seria algum vírus.

Pode ser algum destes casos?
Se foi útil, não se esqueça de Marcar como Resposta. Cláudio Costa - http://claudio-costa.blogspot.com

quinta-feira, 10 de fevereiro de 2011 19:46
0

Entrar para Votar

Olá,

Concordo com os amigos, é muito provavel que seja o conficker, qual ferramenta você usou para diagnosticar que não é virus?

Diogo Molina MCP, MCSA, MCSE, MCTS. Ajude manter o forum organizado, se util classifique! Http://consultormcse.wordpress.com

quinta-feira, 10 de fevereiro de 2011 20:48
0

Entrar para Votar

Usamos o symantec endpoint protection

sexta-feira, 11 de fevereiro de 2011 13:24
0

Entrar para Votar

Outra duvida como verificar se foi setado para algum executavel a opção runas.

sexta-feira, 11 de fevereiro de 2011 13:30
0

Entrar para Votar

Se eu conseguir uma forma de monitorar localmente no equipamento qual executável ou serviço realizou a tentativa de logon, o meu problema seria solucionado com certeza.

O problema é que não sei como fazer isso. Na auditoria de eventos não tenho nada de concreto!

Como monitorar isso? Como rastrear a tentativa de logon nesta maquina? este é o meu problema.

As mensagens que tenho no eventviewer é que a conta foi bloqueada devido a varias tentativas de logon que hora é num servidor e hora é em outro. Porém não consigo saber a origem do evento? O que causou? da onde veio? O eventviewer não esta me fornecendo estas pistas! Sera que ha alguma ferramenta que posso instalar no equipamento e deixar monitorando?

Os logs do servidor apontam que esta vindo do proprio equipamento! Porém ai que esta, de qual serviço? de qual executável? qual evento esta originando.

O usuario as vezes nao esta usando e o bloqueio simplesmente ocorre!

sábado, 12 de fevereiro de 2011 15:28
0

Entrar para Votar

Olá Crisfralves,

Segue uma lista das melhores praticas para acabar com este virus na sua rede.

1- Verifique no console do Symantec Endpoint as maquinas e usuários que estão distribuido mais virus na rede.

Para isso retire um relatorio em Relatorios>tipo de relatorio> Risco> Selecione relatorios abrangente de riscos.

2- Tente indentificar qual variante do conficker esta tendo na sua rede A,B etc...

3- Tenha certeza que seu WSUS ou que as maquinas estajam atualizando perfeitamente, pois o conficker explorar uma fala do S.O que já é corrigida por atualizações do Windows.

4- Desabilite o Autorun na sua rede pode ser feito tanto por AD ou pelo Antivirus.

Desabilitando via windows http://support.microsoft.com/kb/967715

Desabilitando via Symantec http://www.symantec.com/business/support/index?page=content&id=TECH104909&locale=en_US

5- Tente reduzir ao maximo usurios com privilegios desnecessarios na rede.

6- Recomendo que siga esses passos nesse link http://support.microsoft.com/kb/962007

7- Desabilite compartilhamentos desnecessarios.

8- Verifique qual a versão do seu Symantec Endpoint Protection se não é uma versão defasada, e se as atualizaçõe estão em dias.

9- Desabilite o bloqueio de tentativas de logon, ate que remova o virus da rede... porque senão vai ficar tendo esses problemas.

Att,

Rodrigo Daphanis

Rodrigo Daphanis

sábado, 12 de fevereiro de 2011 16:08
0

Entrar para Votar

O problema começou a ocorrer depois que o usuário fez uma mudança de senha isto ha 10 dias atrás. Portanto descarto a possibilidade de vírus.

segunda-feira, 14 de fevereiro de 2011 15:11
0

Entrar para Votar
Bom dia.

Verifique se tem algum serviço configurado para ser executado utilizando a conta do usuário.

Verifique também se algum software que ele utiliza, autentica usando a senha do Windows e se a senha não esta salva errada.

Pode ser também um mapeamento ou uma impressora mapeada que esta com a senha antiga salva.

Abraço.
Se útil, classifique.
Matheus M. Bertuco
MCT, MCSA, MCTS, MCP.
http://matheusbertuco.wordpress.com/
- Sugerido como Resposta Matheus M. Bertuco quinta-feira, 19 de maio de 2011 14:55
- Marcado como Resposta Matheus M. Bertuco segunda-feira, 23 de maio de 2011 14:12
quinta-feira, 19 de maio de 2011 14:55
0

Entrar para Votar

Existe algum aplicativo, ou ferramenta que me permita monitorar as tentativas de logon no equipamento.

Exemplo qual processo ou serviço fez a tentativa?

Não estou conseguindo monitorar nada no log do windows.

Depois que o usuário mudou de senha novamente começou a bloquear.

Sem abrir aplicativo nenhum ocorre as tentativas, porém nao sei a origem!

No eventviewer nao consigo ter pistas suficientes.

Me ajudem por favor!

segunda-feira, 13 de junho de 2011 13:40

Produtos

Resources

Solutions

Atualizações

Avaliações

Sites relacionados

Treinamento

Certificações

Outros recursos

Por produtos

Outros links

Não é um IT Pro?

Usuário com melhor resposta

conta de usuario bloqueando aleatoriamente

Pergunta

Respostas

Todas as Respostas