Hola buenos dias,
Soy Menda desde Madrid, España y tengo un problema que me tiene loco y es con las cuentas de usuarios. Tengo un DC 2003 donde reside el AD con los usuarios de la empresa, las Work Stations tienen Vista y el problema es el siguiente, en numerosas ocasiones las cuentas de los usuarios se bloquea sin ningun sentido, estas personas inician sesion sin problemas, navegan por los recursos compartidos del servidor, etc, pero cuando bloquean la sesion al usentarse de su puesto de trabajo, al regresar e intentar entrar de nuevo, el sistema le notifica que la cuenta esta bloqueada. Mire en directivas de bloqueo de cuentas y tienen 5 intenton antes de que el sistema la bloquee pero en el primer intento la bloquea, ¿que puede ser?.
Un saludo y muchas gracias.
Hola, esta situación la
Hola, esta situación la tuve en 2 clientes hace poco, el problema es que en la red interna hay una máquina con un troyano que intenta averiguar las claves de los usuarios por medio de un ataque de diccionario.
Para saber cuál es la máquina que está infectada debes haer lo siguiente:
1. Verifica que la politica de Audit de los controladores de dominio esté activada (busca en google "enable audit account logon events")
2. En el visor de eventos de seguridad de los controaldores de dominio vas a ver registros de inicio de sesión fallidos, revísalos y en la información aparece la dirección IP desde la que se hacen los intentos de sesión, esa es la máquina que tienen el troyano. Te recomiendo que la formatees.
Saludos
Hola Victor, muchas gracias
Hola Victor, muchas gracias por tu ayuda y perdona que no te contestara tan rapido como quisiera, efectivamente comprobe las auditorias que aplique en las máquinas que tienen ese problema y es cierto que intentan hacer inicio varias veces sin lograrlo, supuse que un troyano o similar estaria rondando por las máquinas e instale varios programas que eliminan troyanos y por ahora no tengo parece que todo va mejor. No obstante si sucediera nuevamente, seguire tu consejo, formateare el equipo.
Gracias nuevamente
Menda
El saber no ocupa lugar, pero puede freirte la sesera. (Johnny Mnemonic, 1995).
Muchos Intentos fallidos
Que tal Visctor / Menda, Tengo muchos intentos fallidos en el controlador de dominio, pero con eventos diferentes con el mismo usuario, como puedo saber con que evento especifico indicar que ese equipo es el que tiene el troyano.. estoy preocupado porque son muchos usuarios a diario que se bloquean.
Gracias por la ayuda de Antemano
Saludos,
Christian Jiménez.
Pd: Victor por favor el video de VPN si pague el curso...jajaja .. pero ya el llink no esta habilitado. Gracias
Revisa en los controladores
Revisa en los controladores de dominio en el vistor de eventos los logs de seguridad, en estos aparecen los inicios de sesión. En ellos sale la IP de la máquina que está intentando autenticar.
Envíame un correo para reactivarte los links del curso de infraestructura y puedas descargar el viedo de VPN
Saludos