Cómo evitar los bloqueos de Active Directory de las credenciales obsoletas
A los administradores de TI no hay que recordarnos uno de los aspectos habituales que hay en la lista de quebraderos de cabeza: los usuarios que olvidan sus contraseñas. Estrechamente relacionados, y justo detrás en términos de frecuencia y nivel de *******, están los bloqueos de cuentas. En una época anterior y antes de tener múltiples dispositivos, era sencillo solventarlo por completo.
Los empleados llamarían o enviarían un correo electrónico a soporte técnico. Después desbloquearían la cuenta en su consola de Active Directory y restablecerían la contraseña. Pero luego llegaron los ordenadores portátiles, los teléfonos inteligentes, las tabletas y el teletrabajo; en otras palabras, la vida moderna, tal como la conocemos. Y de una solución simple a un problema común, de repente éste no era tan fácil de resolver.
La causa más común de la mayoría de los bloqueos de cuentas, aparte de los usuarios con lagunas de memoria, es una aplicación en ejecución o un servicio en segundo plano en uno de esos dispositivos que se está autenticando con credenciales obsoletas basadas en una contraseña antigua.
Índice de contenidos
¿Cómo puedo autenticarme? Te enumero las diferentes formas
¿De cuántas maneras diferentes puede suceder esto? En una lista se pueden incluir, para empezar, las siguientes formas:
- Mapeos de unidad persistentes.
- Tareas programadas.
- Sesiones de servidor de terminales.
- Cuentas de servicio.
- Cualquier programa que almacene nombres de usuario y contraseñas.
Y si se tienen en cuenta todos los nuevos dispositivos informáticos, los administradores tienen más lugares para buscar el proceso problemático. En la práctica significa que, para identificar al culpable, el departamento de TI tendrá que revisar cuidadosamente los registros de auditoría, a menudo en varios dominios.
La política de huelga general podría ser una respuesta, pero…
Voces de ultratumba provenientes de la comunidad de administradores de TI dicen algo como: «La verdadera solución a todo esto es tener una política de bloqueo inteligente». Una escuela de pensamiento recomienda que el administrador vaya a la GPO por defecto para el dominio y cambie los parámetros de bloqueo apropiados a una configuración más… ¿Razonable?
La configuración del ‘umbral de bloqueo de cuenta’ debería cambiarse a un número mucho mayor que tres –quizás 20 o 30– para que un hacker realmente tenga que estar golpeando la cuenta y así activar un bloqueo. ‘Duración del bloqueo de la cuenta’, el tiempo de espera antes de que la cuenta se desbloquee automáticamente, establecido en diez minutos (en lugar de, por ejemplo, 12 horas), y diferente del valor predeterminado de cero, que es un bloqueo permanente. Y finalmente, la delicada política de ‘restablecimiento del bloqueo de cuentas después’ se establece en un minuto.
Cambiar los parámetros predeterminados de bloqueo de Active Directory puede ayudar. Pero cuidado, hay suposiciones sobre la fuerza general de las contraseñas de los empleados que tienen que ser probadas primero. Si, por ejemplo, se tiene una política de contraseñas sólida, entonces podría tener sentido aumentar el ‘umbral de bloqueo de cuentas‘. De lo contrario, esto podría no funcionar. También hay un buen argumento para que este parámetro de umbral sea siempre cero, y los usuarios se vean obligados a tratar irremediablemente con el soporte TI para descongelar sus cuentas.
Cómo encontrar la aplicación obsoleta
Para llegar al fondo del problema de bloqueo causado por los equipos y dispositivos que utilizan credenciales almacenadas, los administradores y el personal de soporte técnico deben encontrar primero la aplicación o el servicio infractor. Y eso significa que hay que buscar en los registros de eventos de los dominios afectados, ya sea manualmente (no recomendado), con una aplicación de terceros o con el propio LockoutStatus.exe de Microsoft.
El evento en particular que hay que buscar es el Event ID 4771 en Server 2008 (y posteriores) o el Event ID 529 en Server 2003. Cuando se ve este evento de Bloqueo de Cuenta, hay que ver el nombre del ordenador cliente o la dirección IP del dispositivo.
Para el sistema operativo Windows, al menos para Windows 7 y posteriores, el administrador inicia sesión de forma remota en el equipo del cliente y abre el Administrador de credenciales para eliminar las credenciales antiguas. Muy probablemente, se trataba del ordenador secundario del usuario, y tras un cambio de contraseña en el ordenador de uso más frecuente, la otra máquina continuó ejecutando servicios que obligaron a cruzar el «umbral de bloqueo de cuentas».
¿Y si el evento de bloqueo apunta a una dirección IP?
Entonces habrá que buscar la dirección MAC de otro dispositivo en el segmento de red local en cuestión, y luego el proveedor de la dirección mac utilizando, por ejemplo, http://www.macvendorlookup.com para averiguar el tipo de dispositivo. Noventa y nueve de cada cien veces la aplicación en el gadget de IOS o Android que estaba enviando las credenciales incorrectas es un cliente de correo electrónico de Exchange, por ejemplo, ActiveSync. El usuario bloqueado tendrá que actualizar la contraseña para actualizar las credenciales y volver a sincronizarlo todo.
he aplicado la politica de bloqueo de usuario a los 5 intentos de ingresar mal el password, pero si se bloquea una cuenta, m las bloquea todas, porque sucede esto?
Hola Rubén, la verdad es que es muy extraño lo que comentas.
Normalmente las políticas de bloqueo de usuarios, si se aplican utilizando una Directiva de Grupo (GPO) en una unidad Organizativa de Active Directory y se ejecutan, restringen por usuario. No tiene sentido que si yo me equivoco en mi contraseña a mi compañero de al lado se le bloquee también su equipo. ¿Es posible que en tu caso haya dos usuarios utilizando el mismo perfil de usuario y credenciales?.
De todas formas, verifica bien que la directiva se aplica en la OU de los usuarios y los parámetros de definición de dicha directiva:
Un cordial saludo.