Hola!, un tema interesante para la protección de cuentas de usuarios de dominio es el Bloqueo de cuentas o Account Lockout.
¿Por qué protegemos las cuentas de usuarios y sus contraseñas? En primer lugar debemos considerar la seguridad como un estatuto que debe regir en nuestra organización. A nivel de cuentas de usuarios de dominio podemos lograrlo habilitando auditoría de cuentas, protección de cuentas deshabilitándolas, contraseñas seguras y complejas.
Los bloqueos de cuentas de usuarios se definen luego de una cantidad de intentos fallidos de inicio de sesión porque se escribe una contraseña incorrecta.
Los bloqueos de cuentas de usuarios de un dominio son definidos en una GPO o una Directiva de Grupo a nivel de todo el dominio.
Nosotros podemos poner a trabajar esta Directiva de Grupo modificando la Default Domain Policy o Directiva del dominio usando la consola GPMC o desde el Active Directory Users and Computers.
Habilitar el bloqueo de cuentas:
- Ingresamos al Active Directory y le hacemos click derecho al dominio y seleccionamos propiedadaes, cargará una ventana e ingresamos a la pestaña Group Policy y hacemos clic en Edit.
- Expandimos la Directiva de Grupo: Computer Settings, Windows Settings, Security Settings, Account Policies, Account Lockout Policy.
- Debemos definir tres valores para el Bloqueo de cuentas.
- Account Lockout Threshold: Define el número de intentos fallidos para bloqueo de cuentas de usuario. Se recomienda que al quinto intento se bloquee la cuenta, por lo tanto escribámos 5.
- Account Lockout Duration: Define el tiempo de bloqueo de la cuenta de usuario. Por defecto es 30 minutos cuando definimos el Account Lockout Threshold. Mejor dicho luego de 30 minutos la cuenta se desbloquea sola. Si deseamos que nunca se desbloquee y que se desbloquee de forma manual por un administrador debemos escribir 0.
- Reset account lockout counter after: Define el tiempo en el que el valor Badpwdcount es reseteado, por defecto es 30 minutos cuando definimos el Account Lockout Threshold. Mejor dicho que en 30 minutos el valor no debe exceder el valor definido en el Account Lockout Threshold, de lo contrario la cuenta se bloquea.
- Finalmente esperamos que la política se ejecute en el dominio. Las políticas de grupos de propagan en un lapso de 30 a 90 minutos de manera automática.
Cuando una cuenta de usuario se bloquea aparecerá la siguiente pantalla:
Para desbloquear un cuenta de usuario ingresamos al Active Directory Users and Computers, identificamos el usuario, clic derecho y seleccionamos Propiedades. En la ventana Propiedades nos vamos a la pestaña Account o Cuenta y desmarcamos la opción Account is Locked out.
Aplicando las directivas de bloqueo de cuentas podremos identificar:
- Las cuentas de usuarios bloqueadas pueden ser visualizadas desde el Visor de eventos en cualquier Controlador de dominio. Opción: Security, Evento 644.
- Identificar dónde las cuentas se bloquean en que estacion de trabajo o servidor. Esto permitirá saber porque las cuentas de servicios o de usuarios se bloquean ayudándonos en tareas de resoluciones de problemas.
Vídeo:
Espero sus comentarios.
Saludos!!!
7 comentarios:
Buenos tutoriales aquí saludos, solo una pregunta si yo quiero que la cuenta de un usuario despues de pasado el tiempo de bloqueo cuando el usuario quiera logearse de nuevo y pida cambiar la contraseña diferent e a las contraseñas anteriores que opción sería .
Hola, yo tengo configurado todo esto, pero le puse que al 3er intento fallido se bloquee por 120 minutos.
Reviso la politica en la pc y esta efectivamente como configuré en el directorio Activo, sin embargo hago pruebas y nunca se bloquea, intento 10 veces y solo dice que el usuario y clave están incorrectos........Saben como puedo resolver el problema?
enviame a mi correo la pantalla de configuración de la política de dominio e indicame si aplica a todo el dominio (Lo recomendable es que sea Domain Default Policy).
Gracias
Estimado Jorge
Revisando en internet me encontre su Blog, el cual me parece bastante bueno.
Pero referente al tema del bloqueo de cuentas, creo que no describes correctamente el como identificar el origen del bloqueo de cuentas. Que pasa si tienes 20 DC, en donde buscas? Te falta mencionar el uso de herramientas como Event Comb y otras mas para esta tarea.
Saludos
Damian
exelente los tutoriales me han ayudado muchisimo en mis estudios sigan asi
Hola! yo tengo un problema, un usuario se bloquea solo y tengo que estar quitando a cada momento desde la pestaña "cuenta" del usuario y des enmarco la casilla de "La cuenta esta bloqueada"
la cual se enmarca sola. me gustaría saber la razón por la cual se enmarca.
Muchas gracias y saludos muy cordiales.
mi correo es davidarj2189@gmail.com
Hola , yo tengo un problema, quiero excluir de esa politica a un frupo de usuarios debido a que usan multiples dispositivos con su cuenta de exchange, les bloquea cada rato su cuenta y a ellos queremos excluirlo de eso.
Genere una politica diferente para aplicarla a solo los grupos de persona que quiero se vean afectadas con esa directiva, el tema aqui es que si al grupo meto solo el usuario no lo aplica, tengo que meter el user y la maquina, ahora tambien debo de meter los id de exchange para que afecte a sus cuentas de exchange?
supongo que por eso recomienda que se aplique en la directiva Default domain .
Saludos.
Publicar un comentario