locked
Bloqueando usuário RRS feed

  • Pergunta

  • senhores boa Tarde.

    estou com um problema terrível, já tentei de tudo dito nos fóruns e ja usei alguns programas.

    segue meu problema:

    Na empresa temos um AD Principal e um secundário.

    derrepente algumas contas começaram a bloquear sozinha. Olhando no event ( 4740 ).

     o Additional Information : Caller Computer Name: sempre esta em Branco.

    já fiz de tudo. e nada até o momento.

    em alguns dos usuários ,mudei o account e funcionou.

    para teste , criei um novo usuário ( teste ) com o account que estava com problema.

    NÃO CHEGO A LOGAR EM NENHUMA MAQUINA , O LOGIN JÁ BLOQUEIA. ( de 10 em 10 minutos )

    Acredito que esta preso em algum outro dispositivo.

    gostaria de ajuda. ja não sei oque fazer!!


    quinta-feira, 13 de agosto de 2015 19:33

Respostas

  • Boa Tarde Tiago,

    Tem vírus na rede? Caso sim, pode ser a GPO Default Domain Policy que está com a política de limite de bloqueio de conta configurada para um número entre 1 e 999. Para não ocorrer o bloqueio insira "0" zero, nessa política para que as contas nunca sejam bloqueadas por tentativas excessivas de acesso, e tem um vírus que causa isso.

    Caminho da Política:

    

    Grato,

    • Sugerido como Resposta Erick Magalhaes quinta-feira, 13 de agosto de 2015 20:16
    • Marcado como Resposta Marcos SJ sexta-feira, 14 de agosto de 2015 13:06
    quinta-feira, 13 de agosto de 2015 20:16

Todas as Respostas

  • boa tarde,

    quando você tenta logar com uma conta que está com esse problema, aparece qual mensagem.

    quinta-feira, 13 de agosto de 2015 20:05
  • Boa Tarde Tiago,

    Tem vírus na rede? Caso sim, pode ser a GPO Default Domain Policy que está com a política de limite de bloqueio de conta configurada para um número entre 1 e 999. Para não ocorrer o bloqueio insira "0" zero, nessa política para que as contas nunca sejam bloqueadas por tentativas excessivas de acesso, e tem um vírus que causa isso.

    Caminho da Política:

    

    Grato,

    • Sugerido como Resposta Erick Magalhaes quinta-feira, 13 de agosto de 2015 20:16
    • Marcado como Resposta Marcos SJ sexta-feira, 14 de agosto de 2015 13:06
    quinta-feira, 13 de agosto de 2015 20:16
  • Tiago, boa tarde!

    A politica está para bloquear o usuário após quantas tentativas?

    Você verificando as propriedades do usuário, a opção Unlock Account fica ativado quando ele é bloqueado?

    Por algum acaso, a opção de que o usuário deve expirar em x tempo está ativada?


    quinta-feira, 13 de agosto de 2015 20:24
  • Boa noite...

    Fica com o Unlock Account selecionada.

    e a senha nunca expira.

    como não quero mudar o account do usuario, to pensando em fazer um scrip , para desbloquear de 5 em 5 minutos.

    quinta-feira, 13 de agosto de 2015 20:26
  • quinta-feira, 13 de agosto de 2015 20:31
  • O comum... somente:

    Usuário Bloqueado

    quinta-feira, 13 de agosto de 2015 20:32
  • Tiago, de acordo com a imagem que postou, a GPO está bloqueando mesmo após 5 tentativas.
    Já enfrentei esse problema quando tinha vírus na rede, no caso coloquei como "0" zero para não bloquear os usuários até resolver o problema com vírus definitivamente e depois habilitei o bloqueio novamente para 5 tentativas, mantendo assim o nível de segurança da rede.

    Veja o primeiro print que postei, nele consta como deverá ficar (marcado em amarelo na imagem).

    Grato,

    • Sugerido como Resposta Erick Magalhaes quinta-feira, 13 de agosto de 2015 21:25
    quinta-feira, 13 de agosto de 2015 21:23
  • Tiago, bom dia!

    Você pode ativar para que as contas não sejam bloqueadas até você resolver o problema, como outros colegas já informaram, também acho que pode ser vírus.

    Existe um vírus bem conhecido chamado por três nomes Conficker, Downaup, Kido que faz isso, ele fica tentando acessar a rede por tentativa e erro.

    Fazia alguns anos que não ouvia ninguém relatar que tinha o pego na rede, mas esta semana mesmo, outro colega aqui do fórum relatou o mesmo problema que o seu, as contas estavam sendo bloqueadas e após uma investigação, ele conseguiu encontrar o Conficker em uma máquina que estava sendo a causadora do problema, coincidência? Não sei.

    Tenho uma ferramenta da Symantec que é específica para o Conficker, caso você a queira, eu posso subir para a nuvem e te passo o link, no entanto vou correr atrás para saber se este vírus sofreu mutação o que acho provável.

    Não sei qual antivírus tu utiliza, mas de uma olhada para saber se está atualizado e se tiver um gerenciador do antivírus melhor ainda, isso irá facilitar sua vida.

    Abraço

    sexta-feira, 14 de agosto de 2015 12:08
  • Tiago,

    Quando tiver oportunidade, de uma lida neste KB.

    neste link informa que em um relatório recente da F-Secure o Conficker continua como o principal vilão para sistemas Windows, no entanto, é informando que o problema ocorre por falta de atualização do S.O.

    Você tem um WSUS em sua rede? Como está o relatório de atualização? Por acaso tu utiliza Windows XP? Lembrando que o Windows Server 2003 também não tem mais suporte.

    sexta-feira, 14 de agosto de 2015 12:29
  • Cara obrigado pela atenção.

    aqui uso o Mcafee...

    eu nunca vi isso....como presto serviço , esta ficando dificil...ja estão pensando em trocar o consultor...rsrsrsr....se vc puder me mandar esse link para down ...ficarei muito grato

    terça-feira, 18 de agosto de 2015 13:23
  • Tiago, bom dia!

    O Emerson está relatando o problema semelhante aqui, ele utiliza o Kaspersky e conseguiu limpar a rede, ele informou que acabou não sendo o Conficker e sim outro vírus que utilizar o mesmo método.

    O seu Mcafee tem um manager ou é standalone?

    Você não respondeu sobre o WSUS, de nada irá adiantar você fazer uma limpeza na rede se o S.O não estiver 100% com as últimas atualizações.

    Aqui está a ferramenta do Norton, mas terá que executar computador por computador.

    terça-feira, 18 de agosto de 2015 13:53
  • Tiago Bom Dia,

    além dos vírus, também tem a possibilidade da conta desse usuário estar configurado em algum dispositivo (smartphone/tablet) ou navegador com a senha salva e de tempo em tempo essa conta tentar e autenticar e exceder as tentativas, dá uma checada nisso também.

    Vlw

    abraços

    terça-feira, 18 de agosto de 2015 14:48
  • Bom dia Tiago,

    Tive um problema semelhante ao seu como disse o Rodrigo, no meu caso a infecção foi o kido ûtilizei esse manual fornecido pela propria Kaspersky para fazer a desinfecção na rede http://support.kaspersky.com/viruses/disinfection/1956.

    Primeiro você vai ter que encontrar da origem que está bloqueando de uma olhada nos logs 4625 que vai te mostrar o usuário e o computador que está sendo bloqueado.

    E também como nosso amigo Erick verifica se existe outros dispositivos configurados pois quando altera a senha tem que ser atualizada também.

    terça-feira, 18 de agosto de 2015 15:45
  • Tiago,

    Outro detalhe importante, quando for fazer a limpeza na rede, você precisa garantir que os usuários que utilizam pendrive ou qualquer outro tipo de armazenamento externo, não estejam com os mesmos infectados, caso contrário, você irá colocar vírus novamente na rede.

    Se você utiliza servidores Linux, ele pode não agir no servidor, mas o Linux se tornará um hospedeiro, ou seja, você precisa realizar a limpeza no servidor também.

    Não que você utilize o AVG, mas o vírus pode bloquear atualizações de segurança do Windows, bem como atualização do próprio antivírus, veja aqui um exemplo de com poder atualizar o antivírus.

    Sobre os nomes Conficker, Kido e Downadup é tudo referente ao mesmo vírus.

    terça-feira, 18 de agosto de 2015 17:59
  • boa Tarde...

    outro dispositivo não deve ser , pois fiz uns testes com ele.e só bloqueia quando o mesmo esta no Dominio

    terça-feira, 18 de agosto de 2015 20:17
  • Tiago, bom dia!

    Você já fez os passos acima? WSUS, passou a ferramenta de limpeza, verificou os servidores?

    quarta-feira, 19 de agosto de 2015 12:45