Una política rigurosa de bloqueo de cuentas es vital para frustrar los ataques de adivinación de contraseñas y de fuerza bruta, pero también se corre el riesgo de bloquear a los usuarios legítimos, lo que cuesta a las empresas tiempo, dinero y esfuerzo valiosos.
Dado que las solicitudes de restablecimiento de contraseñas representan casi el 30% del total de solicitudes de la mesa de ayuda de TI, la resolución de los frecuentes bloqueos de cuentas se convierte en una parte indispensable del trabajo de un administrador de sistemas.
Y con los empleados que cambian entre múltiples dispositivos y colaboran utilizando numerosas aplicaciones, encontrar el origen de un bloqueo de cuenta AD se ha vuelto más difícil que nunca.
Es vital entender por qué se utilizó repetidamente una contraseña incorrecta, es decir, si su uso fue malicioso o no, porque no conocer esta información podría dar lugar a un acceso no deseado. Por eso es urgente analizar y detectar rápidamente la causa de un bloqueo de cuenta para que las cuentas de los usuarios no permanezcan bloqueadas mucho tiempo.
Tipos de bloqueos de cuentas AD
La política de bloqueo de cuentas es una medida de seguridad integrada que limita a los usuarios malintencionados y a los hackers el acceso ilegítimo a los recursos de su red. Casi todos los bloqueos de AD están causados por uno de estos dos problemas fundamentales. Estos son:
∙Empleados descuidados que olvidan sus contraseñas
Una organización es tan fuerte como su eslabón más débil. Sin el uso de un inicio de sesión único, un empleado utiliza en promedio aproximadamente 27 contraseñas para sus necesidades empresariales.
Además de acceder a su desktop y a la VPN, un amplio conjunto de aplicaciones como Outlook, Dropbox, G Suite, Salesforce, Amazon Web Services (AWS) y otras requieren el uso de contraseñas únicas. Esto hace que sea extremadamente difícil para un empleado promedio controlar las contraseñas que se utilizan, lo que da lugar a frecuentes bloqueos de cuentas.
Aunque este tipo de restablecimiento de contraseñas es frecuente, para resolverlo basta con verificar el ID del usuario y restablecer la contraseña de la cuenta AD.
Solapamiento de contraseñas debido a las credenciales almacenadas en caché
Este tipo de bloqueo de cuentas, aunque no es tan frecuente, es mucho más difícil de resolver, ya que la causa raíz del bloqueo de cuentas suele ser extraña.
Además, dado que los empleados suelen utilizar varios dispositivos, numerosas aplicaciones de productividad y servicios de Windows, entre otros, la superposición de contraseñas podría activar el bloqueo de cuentas de cualquiera de ellos.
En este blog, profundizamos en este tipo de bloqueos repetidos de cuentas, analizamos sus causas y hablamos de las distintas herramientas disponibles para solucionar el problema.
Microsoft Technet enumera las siguientes causas más comunes del bloqueo de la cuenta:
- Programas que utilizan credenciales en caché
- Credenciales en caché caducadas utilizadas por los servicios de Windows
- Umbral bajo de intentos de contraseña
- Empleados conectados en diversos dispositivos
- Conservación de credenciales redundantes para los nombres de usuario y contraseñas almacenadas
- Credenciales obsoletas utilizadas por las tareas programadas
- Asignaciones de discos compartidos inadecuados
- Problemas de replicación de cuentas AD
- Sesiones de terminal desconectadas en un Windows Server
Herramientas que ayudan a encontrar el origen de los bloqueos repetidos de cuentas
Existen múltiples herramientas que ayudan a localizar el origen de los repetidos bloqueos de cuentas. La mayoría de ellos requieren mucho trabajo y tiempo. Estas son:
Herramientas de gestión y bloqueo de cuentas de Microsoft
Microsoft ofrece las herramientas LockoutStatus y EventCombMT. Aunque son fiables y precisas, el uso de las herramientas de Microsoft requiere múltiples herramientas individuales que deben ser establecidas, la investigación manual de rutina de cada componente de Windows, y más.
Scripts de PowerShell
Además de que los administradores conozcan el lenguaje de scripts, el uso de scripts de PowerShell requiere la configuración manual de la auditoría de seguridad de AD. Incluye la búsqueda del controlador de dominio que tiene el rol de emulador de controlador de dominio primario, la localización del Windows Event ID 4740 en los logs de eventos de seguridad y el análisis de los detalles del evento encontrado.
Examinadores del bloqueo de cuentas
Una solución de terceros que pueda analizar varios componentes de Windows, como las tareas programadas, los objetos COM, OWA, las aplicaciones y ActiveSync, en busca de signos de credenciales obsoletas y de una asignación inadecuada, ayuda mucho a encontrar rápidamente el origen de los bloqueos repetidos de cuentas.
Utilice el examinador de bloqueo de cuentas de ManageEngine ADAudit Plus para detectar y solucionar fácilmente los bloqueos repetidos de cuentas de AD. Es de ayuda:
∙ Trazar los estados de bloqueo de las cuentas junto con los detalles sobre los tiempos de bloqueo, los equipos y mucho más.
∙ Analizar los servicios, aplicaciones, procesos y tareas programadas de Windows en busca de credenciales obsoletas.
∙ Comprobar si hay asignaciones de discos de red inadecuados y sesiones de desktop remoto desconectadas.
∙ Buscar el historial de fallos de inicio de sesión asociados a esa cuenta bloqueada para obtener más contexto.
∙ Detectar las actividades atípicas de los usuarios, como el tiempo inusual o el volumen de bloqueos de cuentas, con el análisis del comportamiento de los usuarios.
∙ Y mucho más.
Descargue nuestra prueba gratuita de 30 días para detectar y resolver rápidamente los bloqueos de cuentas AD.
