Bloqueo de cuentas de Active Directory: una guía de herramientas y diagnósticos

Los bloqueos de cuentas son una molestia para los administradores del sistema y son comunes en Active Directory (AD). Según la investigación , los bloqueos de cuentas son la razón más común para llamar al soporte de TI.



Y la razón principal para bloquear las cuentas de Active Directory (excepto cuando los usuarios olvidan su contraseña) es una aplicación en ejecución o un servicio en segundo plano en el dispositivo que se autentica con credenciales desactualizadas. Dado que los usuarios deben utilizar más dispositivos, este problema se agrava. Para resolver este problema, los administradores de sistemas deben encontrar la aplicación que se está ejecutando con credenciales desactualizadas y luego detenerla o pedirle al usuario que actualice las credenciales.



La forma en que Active Directory maneja los bloqueos de cuentas no está actualizada. Anteriormente, cuando la mayoría de los usuarios de Office iniciaban sesión desde un dispositivo, era fácil para ellos realizar un seguimiento de sus credenciales. Pero ahora la situación ha cambiado.

En este artículo, explicaremos con más detalle cómo se producen los bloqueos de cuentas de Active Directory, cómo solucionarlos y cómo crear una política que reducirá el tiempo y los recursos dedicados al desbloqueo de cuentas.

De un vistazo: Razones más comunes para bloquear Active Directory

La mayoría de los bloqueos de cuentas de Active Directory ocurren por una de dos razones: los usuarios olvidan sus contraseñas o no actualizan sus credenciales en todos los dispositivos .



En el primer caso, cuando un usuario olvida una contraseña, el administrador solo necesita restablecer las credenciales del usuario, recordarle que es importante crear una contraseña segura o incluso recomendarle que use un administrador de contraseñas para reducir la cantidad de contraseñas que recordar. En el segundo caso, cuando algún dispositivo o servicio intenta iniciar sesión con datos antiguos, este problema requiere una solución más compleja, y este es exactamente el tema que consideraremos en nuestro artículo.



La mecánica básica de este tipo de bloqueo de cuenta es la siguiente. De forma predeterminada, Active Directory bloquea a un usuario después de tres intentos fallidos de inicio de sesión. En la mayoría de los casos, cuando se solicita a un usuario que actualice las credenciales de su cuenta de Active Directory, lo hace en su dispositivo más utilizado. Cualquier otro dispositivo de este usuario puede conservar las credenciales antiguas, y los programas o servicios seguirán intentando acceder a Active Directory usándolos automáticamente. Dado que las credenciales de estos dispositivos ya no son válidas, no podrán iniciar sesión y Active Directory bloqueará la cuenta muy rápidamente para evitar lo que parece un ataque de fuerza bruta.



En la mayoría de los casos, los administradores de sistemas se verán obligados a identificar la fuente de estos intentos de inicio de sesión ilegales y bloquearlos o pedir al usuario que actualice sus credenciales. En el entorno actual, donde los usuarios pueden necesitar iniciar sesión desde docenas de fuentes diferentes, encontrar la causa raíz puede ser una tarea abrumadora, así como desarrollar una política de bloqueo adecuada que pueda reducir la frecuencia de tales problemas. Más adelante en el artículo, le mostraremos cómo lidiar con ambos.

Razones comunes para bloquear en Active Directory

Antes de hablar sobre soluciones para ayudar con el problema de bloqueo de su cuenta, vale la pena señalar que además de las dos razones más comunes de bloqueo de cuenta anteriores, hay muchas otras.



Microsoft tiene un artículo completo de TechNet sobre cómo solucionar problemas de bloqueo, y la lista incluye:

• Programas que tienen credenciales antiguas en su caché
• cambiar contraseñas en cuentas de servicio;
• establecer un umbral demasiado bajo para la entrada de contraseña incorrecta;
• inicio de sesión de usuario en varias computadoras;
• los nombres de usuario y las contraseñas guardados contienen credenciales desactualizadas;
• trabajos programados con credenciales desactualizadas;
• asignación de unidades con credenciales desactualizadas;
• replicación incorrecta de Active Directory;
• sesiones interrumpidas del servidor de terminales;
• Inicios de sesión de cuentas de servicio obsoletos.

La resolución de problemas de bloqueo de Active Directory será más fácil si comprende bien los conceptos básicos de Active Directory. Hemos escrito muchos tutoriales para ayudarlo a dominar Active Directory. Recomendamos comenzar con nuestra guía de los mejores tutoriales de Active Directory . Asegúrese de comprender la diferencia entre usuarios y equipos en Active Directory , la forma en que funcionan los servicios de Active Directory y la diferencia entre AD y LDAP .



Una vez que comprenda estos temas, comprenderá perfectamente cómo funciona el bloqueo de cuentas.

Resolviendo el problema del bloqueo de cuentas

Debido a las muchas causas potenciales de los bloqueos de cuentas de Active Directory, los administradores del sistema a menudo tienen que hacer todo lo posible para resolver este problema. Los administradores del sistema deben configurar el sistema para realizar un seguimiento de la cantidad de usuarios habilitados para el bloqueo en un bosque de dominio para que puedan solucionar problemas de bloqueo antes de que se vean inundados de llamadas de usuarios.

Los primeros pasos

Cuando identifica por primera vez una cuenta bloqueada, la primera y más importante tarea es determinar si el bloqueo es causado por un ciberataque.



Para asegurarse de tener suficiente información para investigar, hay varios pasos clave que debe seguir:

1. Asegúrese de que los paquetes de servicio y las revisiones más recientes estén instalados en los controladores de dominio y los equipos cliente.
2. Configure computadoras para la recolección de datos:
   
   
   • habilitar la auditoría a nivel de dominio;
   • habilitar el registro de Netlogon;
   • habilitar el registro de Kerberos.
   
   
   
3. Analice datos de archivos de registro de eventos y archivos de registro de Netlogon. Esto ayudará a determinar dónde y por qué se producen los bloqueos.
4. Analice los registros de eventos en la computadora que genera bloqueos de cuenta para determinar la causa.

Si, después de revisar estos registros, ve cientos (o miles) de intentos fallidos de inicio de sesión, probablemente esté viendo un ataque de fuerza bruta en sus sistemas y debe tomar medidas de inmediato. Si resulta que el bloqueo fue causado por razones comunes, debe averiguar cómo sucedió.

Factores a considerar en una política de bloqueo

Si constantemente experimenta varios tipos de bloqueos de cuentas de Active Directory, puede solucionarlo revisando su política de bloqueo.



Muchos administradores le dirán que la mayoría, si no todos, los bloqueos de cuentas se pueden solucionar implementando políticas de bloqueo de cuentas de Active Directory más inteligentes . Los defensores de este enfoque recomiendan que el administrador vaya al GPO predeterminado para el dominio y cambie la configuración de bloqueo apropiada a una más apropiada.



Parámetro de umbral de bloqueo de cuentadebe cambiarse a un número mucho mayor que 3, tal vez 20 o 30, de modo que el bloqueo solo se active mediante un ataque de fuerza bruta de un hacker (en cuyo caso hay cientos de intentos).



La duración del bloqueo de la cuenta , el tiempo de espera antes de desbloquear automáticamente una cuenta, debe establecerse en 10 minutos (en lugar de, digamos, 12 horas), o el valor predeterminado de cero (que significa bloqueo permanente). ...



Finalmente, la complicada configuración de "restablecer la política de bloqueo de cuenta después de" se establece en 1 minuto de forma predeterminada. Puede leer más sobre este enfoque aquí .



Después de recibir asesoramiento profesional de varios ingenieros de Varonis, aprendí que cambiar la configuración predeterminada de bloqueo de Active Directory también puede ayudar. Pero debe tener cuidado con esto, ya que primero debe verificar la solidez general de las contraseñas de los empleados. Si su política de contraseñas es fuerte, entonces aumentar el "Umbral de bloqueo de cuenta" podría tener sentido, de lo contrario, podría no funcionar. Además, existe un buen argumento de que este umbral siempre debería ser cero. Como resultado, los usuarios se verán obligados a ponerse en contacto con el soporte para desbloquear sus cuentas.

En última instancia, el enfoque que adopte dependerá de su entorno y de la cantidad de bloqueos que encuentre a diario. Debe esforzarse por implementar una política de bloqueo que controle la cantidad de intentos de restablecimiento de la cuenta y, al mismo tiempo, pueda atrapar a los intrusos que intentan ingresar a su red.

Tres herramientas para lidiar con bloqueos de cuentas de Active Directory

Los bloqueos de cuentas de Active Directory son tan comunes y una fuente de frustración para los administradores de red que se han diseñado varias herramientas específicamente para abordar el problema. Algunos son proporcionados por Microsoft y otros son ofrecidos por terceros. Aquí hay una lista de los mejores:

Software de estado de bloqueo de cuenta

Este es un conjunto estándar de herramientas que Microsoft proporciona para administrar el bloqueo de cuentas de Active Directory. Consta de varios componentes individuales.



Cada uno de estos lo ayudará a explorar diferentes aspectos de su red:

• EventCombMT.exe recopila y filtra eventos de los registros de eventos de los controladores de dominio. Esta herramienta tiene una búsqueda incorporada de bloqueos de cuentas. Recopila los ID de eventos asociados con bloqueos de cuentas específicos en un archivo de texto separado que luego se puede exportar.
• LockoutStatus.exe , . , .
• Netlogon Netlogon NT LAN Manager (NTLM). Netlogon — . Netlogon NLParse.exe, .
• Acctinfo ADUC ( Active Directory), lastLogon ( ) Password Expires ( ). , ADUC, « ». , .

ADLockouts

Es un programa simple que intenta rastrear el origen de los intentos de contraseña no válidos que resultaron en el bloqueo de Active Directory.



Esta herramienta es ideal para redes pequeñas, pero no tan eficaz en un entorno más grande. La aplicación busca en cada dominio y controlador de dominio un inicio de sesión fallido y luego analiza todos los eventos relacionados. Su propósito es determinar el motivo del bloqueo. Después de eso, el programa analiza cada máquina y muestra todos los casos típicos de bloqueos de cuenta para una serie de objetos: unidades mapeadas, sesiones remotas antiguas, tareas programadas y más.

Potencia Shell

Por supuesto, puede adoptar el enfoque más directo para investigar por qué las cuentas de Active Directory están bloqueadas y usan PowerShell. Este proceso puede llevar un poco más de tiempo y ser más complejo que las herramientas anteriores, pero también le brindará información más detallada sobre lo que está sucediendo exactamente en sus sistemas.

Con PowerShell, puede filtrar fácilmente el registro de eventos para eventos específicos de la cuenta para determinar el origen del bloqueo de la cuenta:

• Esto se puede hacer usando el cmdlet Get-EventLog y el siguiente comando:
  
  
  
  

  Get-EventLog -LogName Security | ?{{$_.message -like "*locked*USERNAME*"}} | fl -property *
        
        
  
          
          
          
        
  
      
          
          
          
        
        
  
          
          
          
        
  
      
      

  
  
  
• Get-UserLockoutStatus . , , , , .

Si es un administrador de red, probablemente no necesite explicar qué tan complicado puede ser bloquear las cuentas de Active Directory. Con esto en mente, es tentador simplemente ver el bloqueo de cuentas como una característica integral de Active Directory y desbloquear automáticamente las cuentas de usuario tan pronto como reciba una solicitud de soporte.



Sin embargo, este es el enfoque equivocado. Si se toma el tiempo para investigar las causas fundamentales de los bloqueos de cuentas, puede evitar que ocurran con frecuencia. Además, cambiar las políticas de bloqueo puede ser una forma eficaz de identificar cuándo un error de usuario está causando el bloqueo y cuándo un ciberdelincuente ataque a su red.



En última instancia, su comprensión de Active Directory determinará la eficacia con la que puede prevenir y administrar los bloqueos de cuentas. Si a menudo se siente frustrado por la incapacidad de rastrear el origen de estos problemas, puede utilizar los recursos que ofrecemos. En particular, consulte nuestra Guía para usuarios y computadoras en Active Directory y nuestra Guía para etiquetar datos confidenciales para ayudarlo a proteger mejor su red de los ciberataques.