¿Por qué se bloquean las cuentas de Windows?




Esta situación constituye, según Microsoft, uno de los problemas más difíciles de diagnosticar y resolver en un ambiente corporativo de redes. Determinar cual puede ser la causa que origine los bloqueos de cuentas de usuarios en un ambiente de redes Windows, constituye una ardua labor de investigación.
Los distintos factores que pueden influir en esta situación son los siguientes:
1.- Existencia de conflictos o incongruencias en las políticas aplicadas al dominio.
2.- Fallas del servicio de localización de recursos.
3.- Fallas de replicación entre los servidores controladores de dominio.
4.- Nivel de Service Pack aplicado.
Análisis y Prevención
Es necesario, que un administrador de sistemas garantice que las políticas, especialmente las de contraseña que se aplican a todo el dominio, mantengan congruencia en todos los servidores que se desempeñan como controladores de dominio, ya que este constituye el primer eslabón en la cadena de eventos que pudieran desencadenar un incidente de cuentas bloqueadas por accesos incorrectos en un dominio. Cabe destacar que el termino ?accesos incorrectos? aplica, tanto al acceso no autorizado a recursos, como los intentos no satisfactorios al iniciar sesión en la red. Si la política es incongruente en algún DC (Controlador de Dominio), se genera un conflicto, incrementándose el contador de accesos no satisfactorios hasta sobrepasar el límite establecido y provocando que la cuenta se bloquee por esta razón. Adicionalmente, en el momento en que un usuario inicia sesión en la red (login) y este mediante el ?loginscript? hace conexiones a unidades de red (lo más probable si es un ambiente corporativo), la conexión a dichos recursos dependerá de las credenciales que se le hayan suministrado a los servidores de validación para que se pueda realizar la autenticación. Si dichos recursos tienen las credenciales anteriores (usuario y contraseña anterior, por ejemplo) y el usuario realizó su cambio de contraseña correctamente, entonces se presentará un conflicto de credenciales, el cual Windows maneja negando el servicio al dominio y aumentando, en la cuenta de usuario correspondiente, el conteo de intentos inválidos permitidos para acceder al recurso o a la red. El servicio de localización de recursos es vital en dominios NT4 y W2K al igual que los servicios de WINS y DNS. En un ambiente NT4, el PDC (Controlador Principal de Dominio) debe tener un rol particular para poder realizar las tareas de ?browsing? en la red. Este rol debe estar definido a nivel de registro y se chequea en la siguiente clave: HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\BROWSER\PARAMETERS
La clave se llama ?IsDomainMaster? y en el PDC debe tener el valor fijado como ?TRUE? para que este equipo pueda ejecutar dichos roles. Por ser el PDC el encargado de mantener la lista de todos los equipos del dominio que tengan recursos disponibles, así como los equipos que realizan procesos de validación y autenticación de usuarios, si ningún equipo en el dominio tiene este rol, entonces es probable que surjan problemas de cambio de contraseña de usuarios, según refiere Microsoft en el Documento TechNet Q259216. Una falla común de problemas de contraseña es la falta de replicación o problemas de replicación entre el PDC y el(los) BDC(s) (Controlador Secundario de Dominio) que existan en un dominio. Una forma sencilla de comprobar este status es haciendo uso del utilitario ?nltest.exe? propio de Microsoft, que además de validar la replicación entre los equipos también puede mostrar la lista de DCs (Controladores de Dominio) disponibles en el dominio. EL comando debe devolver la lista completa de los servidores secundarios y su estado de sincronía con en el PDC. Este comando permite adicionalmente chequear el estado del canal de comunicaciones entre los servidores de dominio. Cualquier falla a este nivel puede originar errores en el proceso de autentificación de los usuarios y desembocar en el bloqueo de las cuentas. Se recomienda adicionalmente revisar el tiempo de sincronización entre los DCs del dominio con el comando NET TIME para validar que tengan el tiempo correcto, es decir, deben tener la misma hora ambos servidores. Para solventar el problema de replicación, se requiere hacer un análisis en el BDC para determinar si se ha realizado algún cambio que hubiera podido afectar el rol del equipo, y en el peor de los casos, tomar un respaldo del equipo y hacerle una ?democión? para luego realizar una ?promoción? a BDC de manera ?limpia?. Este pequeño análisis que se hace de la replicación entre PDC y BDC, se hace asumiendo que el PDC del dominio esta en correcta operación y que es el (los) BDC(s) del dominio los que presentan el problema de replicación. El nivel de SP, aunque no lo parezca, puede ser una causa raíz de este problema, puesto que es una recomendación obligatoria (si cabe el término) de Microsoft que todos los servidores en un dominio NT4, W2K o W2K3 que tengan el rol de DC, deben tener el mismo nivel de Service Pack aplicado para solventar la mayoría de los problemas con bloqueos de cuentas. De hecho existe un patch (Q274372) que Microsoft liberó el 08/05/2002 que corrige una vulnerabilidad de bloqueo de cuentas en un dominio, y es bastante específico al aclarar que esta vulnerabilidad afecta a máquinas con Windows 2000 Professional que tienen solo SP1 aplicado y que son parte de un dominio ?No Windows 2000?, es decir NT4. En este tipo de escenario, más que aplicar solo el hotfix, se recomienda aplicar Service Pack 4 para garantizar que todos los patches de seguridad están incluidos a la fecha de liberación del Service Pack 4. Adicionalmente se recomienda leer este articulo TechNet Q297157 para tener una idea de cómo funciona exactamente en un ambiente Windows NT4 el bloqueo de cuentas si está aplicada una política de contraseña. Muchas veces para resolver un problema es necesario comprender la estructura primero, para después diagnosticar cuales pueden ser los posibles puntos de falla y en donde se puede atacar primero para tratar de resolver un problema que no tiene una solución única, si no que es un compendio de soluciones producto del análisis tanto de la infraestructura involucrada, como de los documentos relacionados que nos puedan dar alguna luz sobre la raíz del problema. Notas Finales
Es recomendable tener un plan de prevención, mantenimiento y corrección proactivo para enfrentar incidentes, ya que si bien no se pueden prever todas las fallas posibles, si es factible mantener actualizada la plataforma con todos los patches de corrección y minimizar las pérdidas de la productividad del recurso humano que depende de dicha infraestructura para laborar. Para ubicar la última información publicada sobre seguridad en ambiente Windows, metodologías de análisis, últimos patches y herramientas utilizadas para diagnosticar problemas de bloqueos, se recomienda acceder los siguientes sitios Web, así como obtener el Resource Kit de Windows NT4 o Windows 2000 según se requiera para poder usar utilitarios como nltest.exe entre otros. Manejo de seguridad en ambientes Windows:
microsoft.com/security
Donde ubicar los últimos documentos TechNet sobre este tipo de problema:
microsoft.com/technet
Ing. Edgar Parra (eparra@scientech.com.ve)
Consultor Senior
Scientech de Venezuela
www.scientech.com.ve
Fuente: PcNews


Otras artículos de interés:

Seguridad Básica en GNU/Linux (V Parte)
Seguridad en Red. La seguridad de las conexiones en red merecen en la actualidad una atención especial, incluso por medios de comunicación no especializados, por el impacto que representan los fallos ante la opinión p&...
Arrancar Ghost for GNU/Linux desde una unidad USB
Ghost for Linux es una de las mejores herramientas para realizar backup’s de nuestros equipos y en algunos casos por comodidad o porque no disponemos de una unidad de cd-rom, tenemos la necesidad de arrancarlo desde una unidad USB. A continuaci...
Google Te Ayuda a Hackear
Los hackers suelen usar software ilegal para acceder a la información privada que reside en la Red o en las redes informáticas privadas. Pero el último as que acaban de sacar de la manga es una herramienta que todos los usuarios de la Web conocen ...
Theme Conky VaSlibre
Conky es un monitor de sistema para los sistemas X Window. Está disponible para GNU/Linux y FreeBSD, liberado bajo los términos de la licencia GPL La versatilidad de Conky es que corre con directamente en una X window, p...
Sincronizar el reloj de nuestro equipo Debian - Ubuntu - Mint y Derivados
A veces la hora de nuestro equipo queda desajustada al momento de tomar la acción de suspender y/o hibernar. Para sincronizar nuevamente nuestro equipo y tenga la hora actual. Usaremos el comando ntpdate para sincroniza...
Añadir soporte USB en VirtualBox
Añadelo primero en la pestaña de configuración de VirtualBox en donde esta USB luego por consola sudo usermod -a -G vboxusers 'usuario' donde usuario es tu nombre de usuario Com...
Instalar nuevos Themes en XFCE - Debian - Ubuntu - Xanadu
Los themes que trae por default XFCE aún cuando no son feos dejan de ser vistosos, pero como todos los escritorios GNU/Linux podemos colocarlo tal como querramos. Puedes descargar los themes desde diferentes sitios por ejemplo: ...
Colocar OpenOffice en español en Ubuntu
Si has instalado OpenOffice usualmente viene por defecto en Ingles si deseas cambiarlo a español solo ejecuta estos 2 comandos por consola: sudo apt-get install openoffice.org-help-es sudo apt-get install openoffice.org-l10...
Bloquear ataques DoS con mod_evasive (para Apache)
Una ataque de Denegación de Servicio, por su concepción, es dificil de parar si su único objetivo es colapsar el sistema durante cierto tiempo. Sin embargo, cuando estos ataques van dirigidos contra servidores instalados en l...
Normas de etiqueta en la Red
La Netiquette es una serie de reglas de etiqueta que todos debemos conocer y seguir al comunicarnos a través de la red para una comunicación más efectiva y un mejor uso de los recursos y el tiempo. Debido a las características particulares del me...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bloquean
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cuentas
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra