¿Por qué se bloquean las cuentas de Windows?


Esta situación constituye, según Microsoft, uno de los problemas más difíciles de diagnosticar y resolver en un ambiente corporativo de redes. Determinar cual puede ser la causa que origine los bloqueos de cuentas de usuarios en un ambiente de redes Windows, constituye una ardua labor de investigación.





Los distintos factores que pueden influir en esta situación son los siguientes:
1.- Existencia de conflictos o incongruencias en las políticas aplicadas al dominio.
2.- Fallas del servicio de localización de recursos.
3.- Fallas de replicación entre los servidores controladores de dominio.
4.- Nivel de Service Pack aplicado.
Análisis y Prevención
Es necesario, que un administrador de sistemas garantice que las políticas, especialmente las de contraseña que se aplican a todo el dominio, mantengan congruencia en todos los servidores que se desempeñan como controladores de dominio, ya que este constituye el primer eslabón en la cadena de eventos que pudieran desencadenar un incidente de cuentas bloqueadas por accesos incorrectos en un dominio. Cabe destacar que el termino ?accesos incorrectos? aplica, tanto al acceso no autorizado a recursos, como los intentos no satisfactorios al iniciar sesión en la red.
Si la política es incongruente en algún DC (Controlador de Dominio), se genera un conflicto, incrementándose el contador de accesos no satisfactorios hasta sobrepasar el límite establecido y provocando que la cuenta se bloquee por esta razón. Adicionalmente, en el momento en que un usuario inicia sesión en la red (login) y este mediante el ?loginscript? hace conexiones a unidades de red (lo más probable si es un ambiente corporativo), la conexión a dichos recursos dependerá de las credenciales que se le hayan suministrado a los servidores de validación para que se pueda realizar la autenticación. Si dichos recursos tienen las credenciales anteriores (usuario y contraseña anterior, por ejemplo) y el usuario realizó su cambio de contraseña correctamente, entonces se presentará un conflicto de credenciales, el cual Windows maneja negando el servicio al dominio y aumentando, en la cuenta de usuario correspondiente, el conteo de intentos inválidos permitidos para acceder al recurso o a la red.
El servicio de localización de recursos es vital en dominios NT4 y W2K al igual que los servicios de WINS y DNS. En un ambiente NT4, el PDC (Controlador Principal de Dominio) debe tener un rol particular para poder realizar las tareas de ?browsing? en la red. Este rol debe estar definido a nivel de registro y se chequea en la siguiente clave:
HKEY_LOCAL_MACHINESYSTEMCURRENTCONTROLSETSERVICESBROWSERPARAMETERS
La clave se llama ?IsDomainMaster? y en el PDC debe tener el valor fijado como ?TRUE? para que este equipo pueda ejecutar dichos roles. Por ser el PDC el encargado de mantener la lista de todos los equipos del dominio que tengan recursos disponibles, así como los equipos que realizan procesos de validación y autenticación de usuarios, si ningún equipo en el dominio tiene este rol, entonces es probable que surjan problemas de cambio de contraseña de usuarios, según refiere Microsoft en el Documento TechNet Q259216.
Una falla común de problemas de contraseña es la falta de replicación o problemas de replicación entre el PDC y el(los) BDC(s) (Controlador Secundario de Dominio) que existan en un dominio. Una forma sencilla de comprobar este status es haciendo uso del utilitario ?nltest.exe? propio de Microsoft, que además de validar la replicación entre los equipos también puede mostrar la lista de DCs (Controladores de Dominio) disponibles en el dominio. EL comando debe devolver la lista completa de los servidores secundarios y su estado de sincronía con en el PDC. Este comando permite adicionalmente chequear el estado del canal de comunicaciones entre los servidores de dominio. Cualquier falla a este nivel puede originar errores en el proceso de autentificación de los usuarios y desembocar en el bloqueo de las cuentas.
Se recomienda adicionalmente revisar el tiempo de sincronización entre los DCs del dominio con el comando NET TIME para validar que tengan el tiempo correcto, es decir, deben tener la misma hora ambos servidores. Para solventar el problema de replicación, se requiere hacer un análisis en el BDC para determinar si se ha realizado algún cambio que hubiera podido afectar el rol del equipo, y en el peor de los casos, tomar un respaldo del equipo y hacerle una ?democión? para luego realizar una ?promoción? a BDC de manera ?limpia?. Este pequeño análisis que se hace de la replicación entre PDC y BDC, se hace asumiendo que el PDC del dominio esta en correcta operación y que es el (los) BDC(s) del dominio los que presentan el problema de replicación.
El nivel de SP, aunque no lo parezca, puede ser una causa raíz de este problema, puesto que es una recomendación obligatoria (si cabe el término) de Microsoft que todos los servidores en un dominio NT4, W2K o W2K3 que tengan el rol de DC, deben tener el mismo nivel de Service Pack aplicado para solventar la mayoría de los problemas con bloqueos de cuentas. De hecho existe un patch (Q274372) que Microsoft liberó el 08/05/2002 que corrige una vulnerabilidad de bloqueo de cuentas en un dominio, y es bastante específico al aclarar que esta vulnerabilidad afecta a máquinas con Windows 2000 Professional que tienen solo SP1 aplicado y que son parte de un dominio ?No Windows 2000?, es decir NT4. En este tipo de escenario, más que aplicar solo el hotfix, se recomienda aplicar Service Pack 4 para garantizar que todos los patches de seguridad están incluidos a la fecha de liberación del Service Pack 4. Adicionalmente se recomienda leer este articulo TechNet Q297157 para tener una idea de cómo funciona exactamente en un ambiente Windows NT4 el bloqueo de cuentas si está aplicada una política de contraseña. Muchas veces para resolver un problema es necesario comprender la estructura primero, para después diagnosticar cuales pueden ser los posibles puntos de falla y en donde se puede atacar primero para tratar de resolver un problema que no tiene una solución única, si no que es un compendio de soluciones producto del análisis tanto de la infraestructura involucrada, como de los documentos relacionados que nos puedan dar alguna luz sobre la raíz del problema.
Notas Finales
Es recomendable tener un plan de prevención, mantenimiento y corrección proactivo para enfrentar incidentes, ya que si bien no se pueden prever todas las fallas posibles, si es factible mantener actualizada la plataforma con todos los patches de corrección y minimizar las pérdidas de la productividad del recurso humano que depende de dicha infraestructura para laborar.
Para ubicar la última información publicada sobre seguridad en ambiente Windows, metodologías de análisis, últimos patches y herramientas utilizadas para diagnosticar problemas de bloqueos, se recomienda acceder los siguientes sitios Web, así como obtener el Resource Kit de Windows NT4 o Windows 2000 según se requiera para poder usar utilitarios como nltest.exe entre otros.
Manejo de seguridad en ambientes Windows:
microsoft.com/security
Donde ubicar los últimos documentos TechNet sobre este tipo de problema:
microsoft.com/technet
Ing. Edgar Parra (eparra@scientech.com.ve)
Consultor Senior
Scientech de Venezuela
www.scientech.com.ve

Fuente: PcNews

Otras noticias de interés:

Más privacidad en Internet
La Casa Blanca señala que las nuevas reglas de privacidad en internet son un balance entre la protección a la privacidad y el desarrollo económico....
Python en Google
Un usuario comenta en su blog la presentación de Greg Stein, ingeniero administrador del grupo Open Source de Google, en la reciente SDForum Python Meeting: En Google, Python es uno de 3 "lenguajes oficiales", junto con C++ ...
Open Database Alliance, el fork de MySQL
Desde Finlandia, la Open Database Alliance, un consorcio neutral diseñado para convertirse en el centro de la industria de la base de datos de código abierto MySQL, incluyendo el código de MySQL y sus derivados, binarios, entrenamiento, soporte y ...
Podría perjudicar a compradores legítimos, Crean herramienta para generar claves ilegales de activación de Windows Vista
Brute Force es un programa sencillo e implacable. El PC comienza a procesar largas secuencias numéricas hasta “adivinar claves de activación de Windows Vista....
1er Congreso Nacional de Software Libre en Venezuela
Hoy comienza en Venezuela el 1er Congreso Nacional de Software Libre (CNSL). Este evento tiene un gran alacance a nivel nacional ya que pretende llevar el mensaje del software libre a 11 ciudades distintas del país. Hoy, en el esta...
FELIZ CUMPLEAÑOS SPY
Hoy 03-06-2004 cumpleaños nuestro amigo y compañero de lides SPY. Recibe cordialmente un fuerte abrazo de tus compañeros de Team y que cumplas muchos más... quienes deseen felicitar a Spy pueden hacerlo a:...
Software capaz de descubrir el origen de un virus
Un grupo de estudiantes de la EPFL, la Escuela Politécnica Federal de Lausana, esa universidad Suiza muy popular en Europa para las carreras técnicas, ha logrado crear un software que puede descubrir el origen de cualquier tipo de información, tam...
Hacker intercepta GSM con un sistema casero
Hacker intercepta llamadas GSM con un sistema casero de 1.500 dólares. La conferencia de hacking DefCon 2010 en Las Vegas, y como todos los años, la información compartida ahí nos puede poner los pelos de punta. Chris Paget nos impresionó el añ...
Backtrack 4 beta
Backtrack es una distribución GNU/Linux destinada a realizar auditorías de seguridad de sistemas y que cuenta con creciente popularidad entre administradores de sistemas, expertos y (gracias a la información distribuída por internet) usuarios int...
Disponible TuxInfo #41
Está disponible la edición #41 de la excelente revista digital sobre software libre TuxInfo. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bloquean
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cuentas
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra