Este sitio ha sido configurado en modo solo lectura, los nuevos contenidos serán publicados en TutorMas.com

Cuentas de AD se bloquean

Hola buenos dias,

Soy Menda desde Madrid, España y tengo un problema que me tiene loco y es con las cuentas de usuarios. Tengo un DC 2003 donde reside el AD con los usuarios de la empresa, las Work Stations tienen Vista y el problema es el siguiente, en numerosas ocasiones las cuentas de los usuarios se bloquea sin ningun sentido, estas personas inician sesion sin problemas, navegan por los recursos compartidos del servidor, etc, pero cuando bloquean la sesion al usentarse de su puesto de trabajo, al regresar e intentar entrar de nuevo, el sistema le notifica que la cuenta esta bloqueada. Mire en directivas de bloqueo de cuentas y tienen 5 intenton antes de que el sistema la bloquee pero en el primer intento la bloquea, ¿que puede ser?.

Un saludo y muchas gracias.

Imagen de victorburgos

Hola, esta situación la

Hola, esta situación la tuve en 2 clientes hace poco, el problema es que en la red interna hay una máquina con un troyano que intenta averiguar las claves de los usuarios por medio de un ataque de diccionario.

Para saber cuál es la máquina que está infectada debes haer lo siguiente:

1. Verifica que la politica de Audit de los controladores de dominio esté activada (busca en google "enable audit account logon events")

2. En el visor de eventos de seguridad de los controaldores de dominio vas a ver registros de inicio de sesión fallidos, revísalos y en la información aparece la dirección IP desde la que se hacen los intentos de sesión, esa es la máquina que tienen el troyano. Te recomiendo que la formatees.

Saludos

Imagen de Menda

Hola Victor, muchas gracias

Hola Victor, muchas gracias por tu ayuda y perdona que no te contestara tan rapido como quisiera, efectivamente comprobe las auditorias que aplique en las máquinas que tienen ese problema y es cierto que intentan hacer inicio varias veces sin lograrlo, supuse que un troyano o similar estaria rondando por las  máquinas e instale varios programas que eliminan troyanos y por ahora no tengo parece que todo va mejor. No obstante si sucediera nuevamente, seguire tu consejo, formateare el equipo.

Gracias nuevamente

Menda

 

 

El saber no ocupa lugar, pero puede freirte la sesera. (Johnny Mnemonic, 1995).

Imagen de Christian Jiménez

Muchos Intentos fallidos

Que tal Visctor / Menda, Tengo muchos intentos fallidos en el controlador de dominio, pero con eventos diferentes con el mismo usuario, como puedo saber con que evento especifico indicar que ese equipo es el que tiene el troyano.. estoy preocupado porque son muchos usuarios a diario que se bloquean.

 

Gracias por la ayuda de Antemano

Saludos,

Christian Jiménez.

 

Pd: Victor por favor el video de VPN si pague el curso...jajaja ..  pero ya el llink no esta habilitado. Gracias

 

Imagen de victorburgos

Revisa en los controladores

Revisa en los controladores de dominio en el vistor de eventos los logs de seguridad, en estos aparecen los inicios de sesión. En ellos sale la IP de la máquina que está intentando autenticar.

Envíame un correo para reactivarte los links del curso de infraestructura y puedas descargar el viedo de VPN

Saludos