Uma política rigorosa de bloqueio de contas é vital para impedir as tentativas de adivinhar senhas e ataques de força bruta. Contudo, não se pode ignorar o risco de acabar por bloquear usuários legítimos, custando às empresas tempo, dinheiro e esforço valiosos.
Com solicitações de redefinição de senha representando quase 30% de todas as solicitações de suporte técnico de TI, resolver bloqueios de contas frequentes se torna uma parte indispensável do trabalho de um administrador de sistema.
Além disso, com os funcionários alternando entre vários dispositivos e colaborando usando vários aplicativos, encontrar a origem de um bloqueio de conta AD tornou-se mais difícil do que nunca.
É vital entender por que uma senha incorreta foi usada repetidamente, ou seja, se seu uso foi malicioso ou não, pois o desconhecimento dessa informação pode levar a acessos indesejados. É por isso que é urgente analisar e detectar rapidamente a causa de um bloqueio de conta para que as contas dos usuários não permaneçam incapacitadas por muito tempo.
Tipos de bloqueios de conta do AD
A política de bloqueio de conta é uma medida de segurança integrada que limita usuários mal-intencionados e hackers de acesso ilegítimo aos seus recursos de rede. Quase todas as falhas do AD são causadas por um desses dois problemas fundamentais. Estes são:
Funcionários descuidados que esquecem suas senhas
Uma organização é tão forte quanto seu elo mais fraco. Sem o uso de logon único, um funcionário médio usa aproximadamente 27 senhas para suas necessidades de negócios.
Além de acessar seu desktop e VPN, um amplo conjunto de aplicativos como Outlook, Dropbox, G Suite, Salesforce, Amazon Web Services (AWS) e outros exigem o uso de senhas exclusivas. Isso torna extremamente difícil para o funcionário médio controlar as senhas que estão sendo usadas, levando a frequentes bloqueios de contas.
Embora esse tipo de redefinição de senha seja comum, ele pode ser resolvido simplesmente verificando o ID do usuário e redefinindo a senha da conta do AD.
Sobreposição de senha devido a credenciais em cache
Esse tipo de bloqueio de conta, embora não tão prevalente, é muito mais difícil de resolver, pois a causa raiz do bloqueio de conta geralmente é estrangeira.
Além disso, como os funcionários costumam usar vários dispositivos, diversos aplicativos de produtividade, serviços do Windows e muito mais, a sobreposição de senhas pode acionar o bloqueio de conta para qualquer um deles.
Neste blog, mergulhamos profundamente nesses tipos de bloqueios de contas repetidos, discutindo o que os causa e discutindo as várias ferramentas disponíveis para corrigir o problema.
O Microsoft Technet lista as seguintes causas mais comuns de bloqueio de conta:
- Programas que usam credenciais em cachê
- Credenciais em cache expiradas usadas pelos serviços do Windows
- Limite baixo de tentativa de senha
- Funcionários conectados em vários dispositivos
- Retenção de credenciais redundantes para nomes de usuário e senhas armazenados
- Credenciais desatualizadas usadas por tarefas agendadas
- Atribuições de disco compartilhado inadequadas
- Problemas de replicação de conta do AD
- Sessões de terminal desconectadas em um Windows Server
Ferramentas para ajudar a encontrar a origem de bloqueios repetidos de contas
Existem várias ferramentas que ajudam a localizar a origem de bloqueios repetidos de contas, ainda que a maioria exija muito trabalho e tempo. Estes são:
Ferramentas de gerenciamento e bloqueio de conta da Microsoft
A Microsoft oferece as ferramentas LockoutStatus e EventCombMT. Embora confiável e preciso, o uso das ferramentas da Microsoft requer a configuração de várias ferramentas individuais, investigação manual de rotina de cada componente do Windows e muito mais.
Scripts do PowerShell
Além de os administradores conhecerem a linguagem de script, o uso de scripts do PowerShell requer a configuração manual da auditoria de segurança do AD. Ele inclui localizar o controlador de domínio que tem a função de emulador de controlador de domínio primário, localizar a ID de evento 4740 do Windows nos logs de eventos de segurança e analisar os detalhes do evento encontrado.
Examinadores de bloqueio de conta
Uma solução de terceiros que pode verificar vários componentes do Windows, como tarefas agendadas, objetos COM, OWA, aplicativos e ActiveSync, em busca de sinais de credenciais obsoletas e mapeamento impróprio, percorre um longo caminho para encontrar rapidamente a origem dos bloqueios.
Use o scanner de bloqueio de conta ADAudit Plus da ManageEngine para detectar e corrigir facilmente bloqueios repetidos de conta do AD. Com ele, é possível:
-
Rastrear status de bloqueio de conta junto com detalhes sobre tempos de bloqueio, equipes e muito mais.
-
Verificar serviços, aplicativos, processos e tarefas agendadas do Windows em busca de credenciais desatualizadas.
-
Verificar se há atribuições de disco de rede inadequadas e sessões de área de trabalho remota desconectadas.
-
Consultar o histórico de falhas de login associadas a essa conta bloqueada para obter mais contexto.
-
Detectar atividades atípicas do usuário, como clima incomum ou o volume de bloqueios de contas, com análise de comportamento do usuário.
-
E muito mais.
