¿Por qué se bloquean las cuentas de Windows?


Esta situación constituye, según Microsoft, uno de los problemas más difíciles de diagnosticar y resolver en un ambiente corporativo de redes. Determinar cual puede ser la causa que origine los bloqueos de cuentas de usuarios en un ambiente de redes Windows, constituye una ardua labor de investigación.





Los distintos factores que pueden influir en esta situación son los siguientes:
1.- Existencia de conflictos o incongruencias en las políticas aplicadas al dominio.
2.- Fallas del servicio de localización de recursos.
3.- Fallas de replicación entre los servidores controladores de dominio.
4.- Nivel de Service Pack aplicado.
Análisis y Prevención
Es necesario, que un administrador de sistemas garantice que las políticas, especialmente las de contraseña que se aplican a todo el dominio, mantengan congruencia en todos los servidores que se desempeñan como controladores de dominio, ya que este constituye el primer eslabón en la cadena de eventos que pudieran desencadenar un incidente de cuentas bloqueadas por accesos incorrectos en un dominio. Cabe destacar que el termino ?accesos incorrectos? aplica, tanto al acceso no autorizado a recursos, como los intentos no satisfactorios al iniciar sesión en la red.
Si la política es incongruente en algún DC (Controlador de Dominio), se genera un conflicto, incrementándose el contador de accesos no satisfactorios hasta sobrepasar el límite establecido y provocando que la cuenta se bloquee por esta razón. Adicionalmente, en el momento en que un usuario inicia sesión en la red (login) y este mediante el ?loginscript? hace conexiones a unidades de red (lo más probable si es un ambiente corporativo), la conexión a dichos recursos dependerá de las credenciales que se le hayan suministrado a los servidores de validación para que se pueda realizar la autenticación. Si dichos recursos tienen las credenciales anteriores (usuario y contraseña anterior, por ejemplo) y el usuario realizó su cambio de contraseña correctamente, entonces se presentará un conflicto de credenciales, el cual Windows maneja negando el servicio al dominio y aumentando, en la cuenta de usuario correspondiente, el conteo de intentos inválidos permitidos para acceder al recurso o a la red.
El servicio de localización de recursos es vital en dominios NT4 y W2K al igual que los servicios de WINS y DNS. En un ambiente NT4, el PDC (Controlador Principal de Dominio) debe tener un rol particular para poder realizar las tareas de ?browsing? en la red. Este rol debe estar definido a nivel de registro y se chequea en la siguiente clave:
HKEY_LOCAL_MACHINESYSTEMCURRENTCONTROLSETSERVICESBROWSERPARAMETERS
La clave se llama ?IsDomainMaster? y en el PDC debe tener el valor fijado como ?TRUE? para que este equipo pueda ejecutar dichos roles. Por ser el PDC el encargado de mantener la lista de todos los equipos del dominio que tengan recursos disponibles, así como los equipos que realizan procesos de validación y autenticación de usuarios, si ningún equipo en el dominio tiene este rol, entonces es probable que surjan problemas de cambio de contraseña de usuarios, según refiere Microsoft en el Documento TechNet Q259216.
Una falla común de problemas de contraseña es la falta de replicación o problemas de replicación entre el PDC y el(los) BDC(s) (Controlador Secundario de Dominio) que existan en un dominio. Una forma sencilla de comprobar este status es haciendo uso del utilitario ?nltest.exe? propio de Microsoft, que además de validar la replicación entre los equipos también puede mostrar la lista de DCs (Controladores de Dominio) disponibles en el dominio. EL comando debe devolver la lista completa de los servidores secundarios y su estado de sincronía con en el PDC. Este comando permite adicionalmente chequear el estado del canal de comunicaciones entre los servidores de dominio. Cualquier falla a este nivel puede originar errores en el proceso de autentificación de los usuarios y desembocar en el bloqueo de las cuentas.
Se recomienda adicionalmente revisar el tiempo de sincronización entre los DCs del dominio con el comando NET TIME para validar que tengan el tiempo correcto, es decir, deben tener la misma hora ambos servidores. Para solventar el problema de replicación, se requiere hacer un análisis en el BDC para determinar si se ha realizado algún cambio que hubiera podido afectar el rol del equipo, y en el peor de los casos, tomar un respaldo del equipo y hacerle una ?democión? para luego realizar una ?promoción? a BDC de manera ?limpia?. Este pequeño análisis que se hace de la replicación entre PDC y BDC, se hace asumiendo que el PDC del dominio esta en correcta operación y que es el (los) BDC(s) del dominio los que presentan el problema de replicación.
El nivel de SP, aunque no lo parezca, puede ser una causa raíz de este problema, puesto que es una recomendación obligatoria (si cabe el término) de Microsoft que todos los servidores en un dominio NT4, W2K o W2K3 que tengan el rol de DC, deben tener el mismo nivel de Service Pack aplicado para solventar la mayoría de los problemas con bloqueos de cuentas. De hecho existe un patch (Q274372) que Microsoft liberó el 08/05/2002 que corrige una vulnerabilidad de bloqueo de cuentas en un dominio, y es bastante específico al aclarar que esta vulnerabilidad afecta a máquinas con Windows 2000 Professional que tienen solo SP1 aplicado y que son parte de un dominio ?No Windows 2000?, es decir NT4. En este tipo de escenario, más que aplicar solo el hotfix, se recomienda aplicar Service Pack 4 para garantizar que todos los patches de seguridad están incluidos a la fecha de liberación del Service Pack 4. Adicionalmente se recomienda leer este articulo TechNet Q297157 para tener una idea de cómo funciona exactamente en un ambiente Windows NT4 el bloqueo de cuentas si está aplicada una política de contraseña. Muchas veces para resolver un problema es necesario comprender la estructura primero, para después diagnosticar cuales pueden ser los posibles puntos de falla y en donde se puede atacar primero para tratar de resolver un problema que no tiene una solución única, si no que es un compendio de soluciones producto del análisis tanto de la infraestructura involucrada, como de los documentos relacionados que nos puedan dar alguna luz sobre la raíz del problema.
Notas Finales
Es recomendable tener un plan de prevención, mantenimiento y corrección proactivo para enfrentar incidentes, ya que si bien no se pueden prever todas las fallas posibles, si es factible mantener actualizada la plataforma con todos los patches de corrección y minimizar las pérdidas de la productividad del recurso humano que depende de dicha infraestructura para laborar.
Para ubicar la última información publicada sobre seguridad en ambiente Windows, metodologías de análisis, últimos patches y herramientas utilizadas para diagnosticar problemas de bloqueos, se recomienda acceder los siguientes sitios Web, así como obtener el Resource Kit de Windows NT4 o Windows 2000 según se requiera para poder usar utilitarios como nltest.exe entre otros.
Manejo de seguridad en ambientes Windows:
microsoft.com/security
Donde ubicar los últimos documentos TechNet sobre este tipo de problema:
microsoft.com/technet
Ing. Edgar Parra (eparra@scientech.com.ve)
Consultor Senior
Scientech de Venezuela
www.scientech.com.ve

Fuente: PcNews

Otras noticias de interés:

¿Es este el golpe final contra Internet Explorer 6?
Llevamos años quejándonos sobre lo malo que es IE6 y sobre cómo nos hace la vida más complicada: por un lado la falta de apego a los estándares y por el otro lado el aspecto de la seguridad, que no cumple con los requisitos mínimos para conside...
zone-h.org evalúa posibilidad de eliminar base de datos de defacements
Leyendo en la lista PeruSEC, uno de sus miembros informa lo siguiente: Me acabo de enterar en la web de Zone-H que estan evaluando la posibilidad de no seguir archivando los defacements, eso seria lamentable, por que ya ha pasado con otros sitios qu...
Actualización de seguridad para Adobe Flash Player
Adobe ha publicado una actualización de seguridad destinada a corregir una vulnerabilidad importante en Adobe Flash Player versión 10.3.181.16 y anteriores para Windows, Macintosh, Linux y Solaris, y Adobe Flash Player 10.3.185.22 y versiones anter...
Microsoft y el vaporware
Ayer leí un interesantísimo artículo escrito por Daniel Eran [artículo original] acerca de cómo Microsoft usó la técnica del vaporware para echar de su camino a varios competidores en la pasada década, y de cómo ha usado la misma técnica ...
La atracción de las amenazas de Web 2.0
Están proliferando varios métodos, que los ciber criminales usan regularmente para comprometer sitios de la Web 2.0. El scripting entre sitios (cross-site scripting, XSS), revela la vulnerabilidad de las aplicaciones basadas en Web para la ejecuci...
Nueva Edición TuxInfo #26
Está disponible para su descarga. el número 26 de la revista en formato digital Tuxinfo....
Seguridad en protocolos de mensajería
Pese al paso de los años y los nuevos conceptos que se van inventando, el chat mediante protocolos de mensajería sigue teniendo una amplia cuota de protagonismo en las actividades online. ...
Naciones Unidas recomienda el uso de software libre.
La ONU recomienda la utilización y el fomento del software libre tanto en el seno de la organización como entre los países miembros, dijo el inspector de Naciones Unidas Dominique Ouredrago, que participó en la cl...
Una vez más, malware en aplicaciones legítimas
No es la primera vez que ocurre, y por desgracia tampoco será la última. Se ha informado en más de una ocasión sobre malware distribuidos es aplicaciones legalmente adquiridas; en esta ocasión y de forma casi simultanea se ha anunciado que Vodaf...
Actualización de Firefox 3.5.3
Los desarrolladores de Mozilla han lanzado una actualización de Firefox; la versión 3.5.3, que corrige algunos problemas de estabilidad y vulnerabilidad....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bloquean
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cuentas
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra