none
usuarios de AD se bloquea constantemente sin saber desde que dispositivo lo hace, como identificar este problema para resolverlo RRS feed

  • Pregunta

  • Buen día, quisiera solicitar su ayuda, actualmente tengo un usuario del AD que se bloquea cada minuto por múltiples intentos, al momento de revisar el event view en el campo de computer este se muestra en blanco y no logro identificar desde donde se originan los intentos, quisiera ver si alguien me puede ayudar a saber como identificar donde se realizan estos intentos o bien como matar todas las sesiones para evitar los intentos de inicio de sesión.

    Gracias

    viernes, 16 de agosto de 2019 14:27

Respuestas

  • Hola "EduardoSagastume",

    1 - Configura:

    Configuracion de Equipo -> Directivas -> Configuracion de Windows -> Configuracion de Seguridad -> Directivas Locales -> Directivas de Auditoria -> Auditoria de Eventos de Inicio de Sesion de cuenta = Habilitada

    Configuracion de Equipo -> Directivas -> Configuracion de Windows -> Configuracion de Seguridad ->  Configuración de directiva de auditoría avanzada -> Directivas de Auditoria = Habilitar

    2 - Desde el Domain Controller PDC + Event Viewer + Security haz un filtrado por event id 4740, en donde aparece el domain\user, la hora y nombre de host. No olvidar chequear la GPO "Default Domain Controllers Policy".

    3 - Listar cuentas: Search-ADAccount –LockedOut
    4 - Listar Event ID con cuentas: Get-WinEvent -ComputerName $pdce -FilterHashTable @{'LogName' ='Security';'Id' = 4740}

    4 - Ejecuta:

    nltest /dbflag:0x2080ffff 
    Busca: %SystemRoot%\Debug\netlogon
    Dentro del file aparecerá 0x... (ver imagen debajo)

    5 - Aplica:

    Account Lockout and Management Tools
    https://www.microsoft.com/en-us/download/details.aspx?id=18465

    Account Lockout Status (LockoutStatus.exe)
    https://www.microsoft.com/en-us/download/details.aspx?id=15201

    Info: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc738772(v=ws.10)

    Desbloqeuar una cuanta: Unlock-ADAccount -Identity ignaba
    Desbloquear todas las cuentas de AD: Search-ADAccount -Lockedout | Unlock-AdAccount

    ------------------------------------------------------------------------------------------

    Saludos.


    [Ignacio Barrios] MPN-MCT: 2019, MCTS: Windows Server 2008 R2, MCSA-MCSE: Window Server 2012 R2, Server Virtualization with Windows Server Hyper-V System Center & MCSA-MCSE: Windows Server 2016

    lunes, 19 de agosto de 2019 17:54

Todas las respuestas

  • Hola "EduardoSagastume",

    1- Desde el Domain Controller (PDC) + Event Viewer + Security haz un filtrado por event id 4740, en donde aparece el domain\user, la hora y nombre de host. No olvidar chequear la GPO "Default Domain Controllers Policy".

    2 - Configura:

    Configuracion de Equipo -> Directivas -> Configuracion de Windows -> Configuracion de Seguridad -> Directivas Locales -> Directivas de Auditoria -> Auditoria de Eventos de Inicio de Sesion de cuenta = Habilitada

    Editar la politica Predeterminda del Dominio > Configuracion de Equipo -> Directivas -> Configuracion de Windows -> Configuracion de Seguridad ->  Configuración de directiva de auditoría avanzada -> Directivas de Auditoria = Habilitar todas

    3 - Aplica:

    Account Lockout and Management Tools
    https://www.microsoft.com/en-us/download/details.aspx?id=18465

    Account Lockout Status (LockoutStatus.exe)
    https://www.microsoft.com/en-us/download/details.aspx?id=15201

    Info: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc738772(v=ws.10)

    4 - Power Shell (script)

    $Username = ‘ignaba’
    $Pdce = (Get-AdDomain).PDCEmulator
    $GweParams = @{
         ‘Computername’ = $Pdce
         ‘LogName’ = ‘Security’
         ‘FilterXPath’ = "*[System[EventID=4740] and EventData[Data[@Name='TargetUserName']='$Username']]"
    }
    $Events = Get-WinEvent @GweParams

    5 - Power Shell (query)

    Get-AccountLockoutStatus
    Get-AccountLockoutStatus -Username ignaba

    6 - Verifica las credenciales cacheadas: rundll32.exe keymgr.dll, KRShowKeyMgr

    7 - Desde Command Prompt: nltest /dbflag:0x2080ffff 
    Busca %SystemRoot%\Debug\netlogon
    Dentro del file busca 0x... (ver magen de ayuda)

    ------------------------------------------------------------------------------------------------------------

    Saludos.


    [Ignacio Barrios] MPN-MCT: 2019, MCTS: Windows Server 2008 R2, MCSA-MCSE: Window Server 2012 R2, Server Virtualization with Windows Server Hyper-V System Center & MCSA-MCSE: Windows Server 2016


    domingo, 18 de agosto de 2019 2:51
  • Hola "EduardoSagastume",

    1 - Configura:

    Configuracion de Equipo -> Directivas -> Configuracion de Windows -> Configuracion de Seguridad -> Directivas Locales -> Directivas de Auditoria -> Auditoria de Eventos de Inicio de Sesion de cuenta = Habilitada

    Configuracion de Equipo -> Directivas -> Configuracion de Windows -> Configuracion de Seguridad ->  Configuración de directiva de auditoría avanzada -> Directivas de Auditoria = Habilitar

    2 - Desde el Domain Controller PDC + Event Viewer + Security haz un filtrado por event id 4740, en donde aparece el domain\user, la hora y nombre de host. No olvidar chequear la GPO "Default Domain Controllers Policy".

    3 - Listar cuentas: Search-ADAccount –LockedOut
    4 - Listar Event ID con cuentas: Get-WinEvent -ComputerName $pdce -FilterHashTable @{'LogName' ='Security';'Id' = 4740}

    4 - Ejecuta:

    nltest /dbflag:0x2080ffff 
    Busca: %SystemRoot%\Debug\netlogon
    Dentro del file aparecerá 0x... (ver imagen debajo)

    5 - Aplica:

    Account Lockout and Management Tools
    https://www.microsoft.com/en-us/download/details.aspx?id=18465

    Account Lockout Status (LockoutStatus.exe)
    https://www.microsoft.com/en-us/download/details.aspx?id=15201

    Info: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc738772(v=ws.10)

    Desbloqeuar una cuanta: Unlock-ADAccount -Identity ignaba
    Desbloquear todas las cuentas de AD: Search-ADAccount -Lockedout | Unlock-AdAccount

    ------------------------------------------------------------------------------------------

    Saludos.


    [Ignacio Barrios] MPN-MCT: 2019, MCTS: Windows Server 2008 R2, MCSA-MCSE: Window Server 2012 R2, Server Virtualization with Windows Server Hyper-V System Center & MCSA-MCSE: Windows Server 2016

    lunes, 19 de agosto de 2019 17:54