Guía rápida: cómo solucionar los bloqueos de cuentas de Active Directory

Los bloqueos de cuentas de Active Directory pueden ser muy problemáticos para las organizaciones. Ha habido casos documentados de atacantes que aprovechan la función de bloqueo de cuenta en un tipo de ataque de denegación de servicio. Al ingresar intencionalmente numerosas contraseñas incorrectas, los atacantes teóricamente pueden bloquear a todos los usuarios fuera de sus cuentas.

Pero, ¿qué hace si tiene problemas con los bloqueos de cuentas?

El sistema operativo Windows tiene una capacidad algo limitada para solucionar los bloqueos de cuentas, pero hay algunas cosas que puede hacer. Por ejemplo, puede usar Windows PowerShell para determinar qué cuentas se han bloqueado. El comando para hacerlo es:

Búsqueda-ADAccount -LockedOut -UsersOnly | Seleccionar nombre de objeto, SamAccountName

Por cierto, el parámetro UsersOnly evita que los objetos de la computadora se incluyan en los resultados, mientras que el comando Select-Object filtra la lista de resultados para mostrar solo el nombre del usuario y su nombre de cuenta.

Si encuentra que las cuentas han sido bloqueadas, hay un par de formas de desbloquearlas. Puede desbloquear cuentas una a la vez usando este comando:

Desbloquear-ADAccount -Identidad

Si, por otro lado, necesita desbloquear cuentas de usuario de forma masiva, puede hacerlo con este comando:

Buscar-ADAccount –Bloqueado | Desbloquear cuenta AD

Si bien es innegablemente importante poder desbloquear cuentas de usuario, es igualmente importante poder averiguar por qué se bloquearon las cuentas en primer lugar. Puede obtener un poco de información sobre el problema utilizando una variación del comando Search-ADAccount que vio hace un momento:

Búsqueda-ADAccount -LockedOut | Seleccionar objeto *

Este comando mostrará información adicional sobre todas las cuentas que han sido bloqueadas. Puede utilizar esta información para averiguar cuándo inició sesión el usuario por última vez y si la contraseña del usuario ha caducado. Debido a que este comando puede devolver una gran cantidad de datos, puede que le resulte útil escribir los resultados en un archivo CSV. Aquí hay un ejemplo de cómo hacerlo:

Búsqueda-ADAccount -LockedOut | Seleccionar objeto * | Exportar-CSV -Ruta c: temp lockout.csv

Es posible ir más allá con la solución de problemas de bloqueo de Active Directory utilizando las herramientas nativas de Windows, pero para hacerlo, deberá realizar un cambio en la configuración de la política de grupo antes de que ocurran los bloqueos. Por extraño que parezca, los bloqueos de cuentas no se registran de forma predeterminada.

Puede habilitar el registro abriendo el Editor de directivas de grupo y navegando por el árbol de la consola hasta Configuración del equipo | Configuración de Windows | Configuración de seguridad | Configuración avanzada de políticas de auditoría | Políticas de auditoría del sistema Administración de cuentas. Ahora, habilite la auditoría de éxito y fracaso para la administración de cuentas de usuario.

Una vez que se haya aplicado la nueva configuración de directiva de grupo en todo el dominio, se escribirá el número de evento 4740 en el registro de eventos de seguridad cada vez que se bloquee una cuenta.

Get-WinEvent -FilterHashtable @ {logname = «Seguridad»; identificación = 4740}

Hay una buena posibilidad de que este comando produzca una abrumadora cantidad de resultados. Puede usar el cmdlet Select-Object para limitar la cantidad de resultados que se muestran. Si, por ejemplo, solo desea ver los diez resultados más recientes, puede usar este comando:

Get-WinEvent -FilterHashtable @ {logname = «Seguridad»; identificación = 4740} | Seleccionar ID de usuario de objeto, mensaje: últimos 10

Tenga en cuenta que también incluí referencias a UserID y Message en el cmdlet Select-Object. El ID de usuario hará que se muestre el nombre de usuario y la referencia a Mensaje hará que PowerShell muestre información detallada sobre el evento. Quizás el elemento más útil que se muestra en el mensaje es el nombre de la computadora que llama, que refleja el nombre de la máquina que provocó el bloqueo de la cuenta de usuario. Si es necesario, también puede utilizar la propiedad TimeCreated para averiguar cuándo se produjo el bloqueo.

El comando que se muestra arriba a veces puede cortar el Mensaje. Si esto le sucede a usted, puede solucionar este problema agregando el comando Format-List, como se muestra a continuación:

Get-WinEvent -FilterHashtable @ {logname = «Seguridad»; identificación = 4740} | Seleccionar ID de usuario de objeto, mensaje: últimos 10 | Formato-Lista

Como puede ver, Windows tiene una capacidad limitada para ayudarlo a solucionar problemas de bloqueo de cuenta. Si constantemente experimenta problemas de bloqueo de cuentas y necesita capacidades adicionales de resolución de problemas o si, como muchas otras organizaciones, está experimentando un aumento en las llamadas relacionadas con el bloqueo de cuentas durante la pandemia global, entonces podría considerar revisar algunas de las herramientas de terceros que están disponibles, como una solución de restablecimiento de contraseña de autoservicio.

Identificar qué está impulsando los cierres patronales y rectificar el problema es una parte de la ecuación. Para abordar el problema de manera integral, los departamentos de TI deben brindarles a los usuarios la capacidad de desbloquear sus propias cuentas de manera segura, en cualquier momento y en cualquier lugar.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática