none
Microsoft Windows Security Auditing RRS feed

  • Pergunta

  • Olá pessoal....

    Estou com um problema com relação ao logon de usuários. As contas estão sendo bloqueadas durante o uso da estação. Isso tem ocorrido com certa frequência. Quando acontece, tenho que ir no AD e habilitar a conta do usuário.

    Nos logs do servidor nao existe nenhum erro, somente estes de falha de auditoria.

    Abaixo segue os logs de auditoria do AD e de uma estação.

    Log de Segurança do AD:

    Falha no logon de uma conta.

    Requerente:
        Identificação de segurança:        SISTEMA
        Nome da conta:        E017$
        Domínio da conta:        EMPRESA.COM.BR
        Identificação de logon:        0x3e7

    Tipo de logon:            7

    Conta cujo logon falhou:
        Identificação de segurança:        NULL SID
        Nome da conta:        usuario
        Domínio da conta:        EMPRESA.COM.BR

    Informações da falha:
        Razão da falha:        Nome de usuário desconhecido ou senha incorreta.
        Status:            0xc000006d
        Substatus:        0xc000006a

    Informações do processo:
        ID de processo do chamador:    0x3bc
        Nome de processo do chamador:    C:\Windows\System32\winlogon.exe

    Informações da rede:
        Nome da estação de trabalho:    K017
        Endereço da rede de origem:    127.0.0.1
        Porta de origem:        0

    Informações detalhadas da autenticação:
        Processo de logon:        User32
        Pacote de autenticação:    Negotiate
        Serviços transitados:    -
        Nome do pacote (somente NTLM):    -
        Comprimento da chave:        0

    :Este evento é gerado quando uma solicitação de logon falha. Ele é gerado no computador em houve a tentativa de acesso.

    Os campos do assunto indicam a Conta Sistema Local que solicitou o logon. Comumente, isto é um serviço como o de servidor ou um processo local como Winlogon.exe ou Services.exe.

    O campo tipo de logon indica o tipo de logon ocorrido. Os tipos mais comuns são 2 (interativo) e 3 (em rede).

    Os campos de informações do processo indicam qual conta ou processo do sistema solicitaram o logon.

    Os campos informações de rede indicam onde a solicitação de logon remoto se originou. O nome da estação de trabalho nem sempre está disponível e pode ser deixado em branco em alguns casos.

    Os campos de informações de autenticação fornecem informações detalhadas sobre esta solicitação específica de logon.

    Outro log:

    Falha na pré-autenticação do Kerberos.

    Informações da conta:
        Identificação de segurança:        EMPRESA\USUARIO
        Nome da conta:        USUARIO

    Informações do serviço:
        Nome do serviço:        krbtgt/EMPRESA.COM.BR

    Informações da rede:
        Endereço do cliente:        ::ffff:192.168.1.27
        Porta do cliente:        60762

    Informações adicionais:
        Opções de permissão:        0x40810010
        Código de falha:        0x12
        Tipo de pré-autenticação:    0

    Informações do certificado:
        Nome do emissor do certificado:        
        Número de série do certificado:     
        Impressão digital do certificado:        

    As informações dos certificados são fornecidas apenas se um certificado foi usado na pré-autenticação.

    Os tipos de pré-autenticação, opções de permissão e códigos de resultados são definidos no RFC 4120.

    Se a permissão foi mal formada ou danificada durante o trânsito e não pode ser descriptografada, diversos campos desse evento podem não estar presentes.

    Alguém já viu isso?

    quarta-feira, 9 de agosto de 2017 14:04

Respostas

  • Olá Francisco,

    Já vi um problema desses acontecendo, ele estava relacionado ao "Cofre de Credenciais" na empresa os usuários tinham que fazer troca da senha de 30 em 30 dias, porem existiam alguns usuários que insistiam em fazar mapeamentos diversos com as credenciais salvas no Cofre.

    Quando o usuário alterava a senha, o mapeamento que estava com a senha antiga tentava ser refeito, resultado: Conta Bloqueada no AD. Para resolver isso desativei Cofre de Credenciais.

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    quinta-feira, 10 de agosto de 2017 19:33

Todas as Respostas

  • Ola Francisco,

    Algumas de suas estações pode estar com algum tipo de virus e mandando requisição de login para o seu servidor. Aconselho dar um geral em todas as estações de trabalho e em seu cenário. Revise as entradas de agendador de tarefas e monitore as requisições para a sua placa de rede local. Você pode usar o Capsa Enterprise na verão trial para facilitar e achar isso. Segue um curso gratuito explicando um uso da ferramenta:

    http://www.wenzcursos.com.br/courses/monitoramento-de-redes-e-protocolos

    Espero que ajude e qualquer coisa entre em contato.


    Vinicius Mozart || MVP - Cloud and Datacenter Management || vinicius.mozart@terra.com.br || http://www.wenz.com.br || Skype:vinicius.mozart

    quarta-feira, 9 de agosto de 2017 18:57
    Moderador
  • Olá Vinicius, tudo bem?

    Vírus acho um pouco difícil, mas não descarto a opção, pois o cliente tem AV pago.

    Estarei seguindo estas sugestões.

    Obrigado

    quinta-feira, 10 de agosto de 2017 19:19
  • Olá Francisco,

    Já vi um problema desses acontecendo, ele estava relacionado ao "Cofre de Credenciais" na empresa os usuários tinham que fazer troca da senha de 30 em 30 dias, porem existiam alguns usuários que insistiam em fazar mapeamentos diversos com as credenciais salvas no Cofre.

    Quando o usuário alterava a senha, o mapeamento que estava com a senha antiga tentava ser refeito, resultado: Conta Bloqueada no AD. Para resolver isso desativei Cofre de Credenciais.

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    quinta-feira, 10 de agosto de 2017 19:33
  • Bom dia,

    Por falta de retorno esta thread esta encerrada !

    Caso necessário, por gentileza abra uma nova thread.

    Atenciosamente,


    Guilherme Macedo S

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    quinta-feira, 17 de agosto de 2017 19:35
  • Marcos, boa tarde!

    Exatamente o que ocorreu comigo, havia uma politica para tempo de vida de senha para o computador de 45 dias, e alguns logins estavam marcado a opção de nunca expirar a senha.

    Removi a politica e normalizou.

    segunda-feira, 19 de agosto de 2019 13:32