Rastreo Bloqueo de Cuentas en Active Directory
Los bloqueos de cuentas es un tema para estar discutiendolo con sus pros y contras debido a la seguridad o inseguridad que estas generan en una organizacion, que es mejor? un password complejo? que caduque cada 30 dias? que las cuentas no se bloqueen? que tenga una longitud minima de 7? u 8? caracteres.
Inclusive el reciente gusano config.b - downadup o como se llame, este se difunde de manera exponencial en el AD bloqueando practicamente todas las cuentas del dominio, esta solucion les ayudara a detectar los equipos originantes de estas peticiones.
1ro. Descargar Altools.exe
2do. Copiar y descomprimir los archivos en el PDC en:
%systemroot%\system32
3ro. Registrar el acctinfo.dll
regsrvr32 acctinfo.dll
4to. Se crea la pestaña opcional Aditional Account Info donde con la opcion del lockout status podemos identificar en que DC del dominio se genero el bloqueo y por ende se registraron los datos.
5to. Ingresar al Visor de Sucesos-->Security del Servidor detectado donde se genero el bloqueo y filtrar el evento 644, ahi podremos observar de acuerdo a la fecha y hora identificados en el 4to. punto los detalles de la cuenta del dominio y el equipo desde donde se genero el bloqueo.
6to. Verificar servicios o programas que se esten ejecutando con la cuenta comprometida en el equipo mencionado.
Inclusive el reciente gusano config.b - downadup o como se llame, este se difunde de manera exponencial en el AD bloqueando practicamente todas las cuentas del dominio, esta solucion les ayudara a detectar los equipos originantes de estas peticiones.
1ro. Descargar Altools.exe
2do. Copiar y descomprimir los archivos en el PDC en:
%systemroot%\system32
3ro. Registrar el acctinfo.dll
regsrvr32 acctinfo.dll
4to. Se crea la pestaña opcional Aditional Account Info donde con la opcion del lockout status podemos identificar en que DC del dominio se genero el bloqueo y por ende se registraron los datos.
5to. Ingresar al Visor de Sucesos-->Security del Servidor detectado donde se genero el bloqueo y filtrar el evento 644, ahi podremos observar de acuerdo a la fecha y hora identificados en el 4to. punto los detalles de la cuenta del dominio y el equipo desde donde se genero el bloqueo.
6to. Verificar servicios o programas que se esten ejecutando con la cuenta comprometida en el equipo mencionado.
Comentarios