Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Pgina 1 de 3
Por qu 10 intentos y no 3? Si bien el dilema ms comn es el de por qu se debe de configurar la poltica de bloqueos de cuentas a utilizar a 10 intentos con contrasea incorrecta, cuando por lo general las auditorias de seguridad recomiendan el uso de nicamente 3; en ste documento no entraremos en demasiado detalles y nicamente remarcaremos que la recomendacin de Microsoft no termina en utilizar 10 intentos con contrasea incorrecta, sino que es parte de una serie de recomendaciones como la complejidad de la contrasea, la ventana de observacin, la duracin del bloqueo, etc. los cuales hacen que las probabilidades de descifrar la contrasea sean mnimas. As mismo, recordemos que muchas aplicaciones pueden tomar ms de 3 intentos con la contrasea que se los provee, lo cual propiciar que los bloqueos sean ms comunes aumentando por lo tanto los costos de operacin tanto del help desk como del usuario, debido al tiempo que le tomar al personal de help desk el estar desbloqueando cuentas y el que le tomar a los usuarios el esperar hasta que sta sea desbloqueada. Para ms detalles utilizar el documento de Account Passwords and Policies
EL ABC. La metodologa para detectar la causa de un bloqueo de cuentas es tan simple que se puede resumir en 3 pasos:
Activar auditoria y logging. Detectar la mquina causando los intentos con contrasea incorrecta. Detectar el servicio, aplicacin o configuracin culpable.
http://blogs.technet.com/b/latam/archive/2006/03/17/423428.aspx
16/08/2012
El ABC del bloqueo de cuentas - LATAM Team blog - Site Home - TechNet Blogs
Pgina 2 de 3
Esto se realiza a travs del anlisis del log de Seguridad de todos los controladores de dominio y/o del log de Netlogon de los mismos. Antes de comenzar el anlisis, hay que escoger una cuenta que haya presentado el bloqueo para enfocar el anlisis hacia ella. Una vez que se determine la causa del bloqueo se puede emplear la misma solucin a las dems mquinas, si alguna presenta nuevamente el bloqueo; se realizar el mismo procedimiento esta vez escogiendo esta nueva cuenta. Si bien los logs de Seguridad resultan ser ms sencillos de analizar que los logs de Netlogon, cualquiera de los dos mtodos es til. El log de seguridad se puede analizar con eventcombmt.exe y el de netlogon con nlparse.exe, ambas herramientas incluidas en los Account Lockout Tools. En el caso de que uno no contenga la informacin, se puede intentar buscar en el otro. Logs de seguridad. Cmo se mencion anteriormente, podemos usar eventcombmt.exe con la opcin de Searches\Built In Searches\Account lockouts para analizar los logs de Seguridad. Esta opcin automticamente selecciona todos los controladores de dominio del dominio y busca por los event IDs 529, 644, 675, 676, y 681, los cuales estn relacionados con bloqueos de cuentas. El Event ID 644 muestra que la cuenta ha sido bloqueada y los dems muestran intentos con contrasea incorrecta. Delimitemos la bsqueda a solamente la cuenta escogida, escribiendo el nombre en la seccin de Text. Eventcombmt har la bsqueda y crear un log por cada controlador de dominio que se haya revisado y que contenga eventos que cumplan con el criterio especificado. Estos eventos nos indicarn cul es la mquina que est causando los intentos con contrasea incorrecta. Por lo general los intentos causados por un programa, script o servicio pueden ser identificados por presentar varios intentos dentro del mismo segundo. Un bloqueo causado por un usuario se ver separado por varios segundos. Es importante entender que cada intento con contrasea incorrecta es verificado una vez por el controlador de dominio que recibi la solicitud y una vez ms por el controlador de dominio con el rol de PDC Emulator, por lo que si el que log que estamos revisando es el del PDC Emulator y el intento refleja que el causante fue otro controlador de dominio, tendremos que verificar los logs de ste otro controlador de dominio a la misma hora. Si los eventos en ste controlador de dominio reflejan que el causante es otra mquina entonces habremos encontrado la mquina culpable. Logs de Netlogon. Para analizar los logs de Netlogon, hay que recolectar los logs de todos los controladores de dominio y despus analizarlos con NLParse.exe o con findstr. Cuando se utilice NLParse.exe seleccione las opciones 0xC000006A (intento con contrasea incorrecta y 0xC0000234 (Cuenta bloqueada) y despus haga clic en Extract. En el resultado final hay que identificar aquellos intentos que sean con la cuenta que escogimos y detectar la mquina desde la cul viene el intento. Para analizar varios logs a la vez se puede utilizar findstr.exe, el cual viene incluido con Windows 2000, Windows XP y Windows Server 2003. Posteriormente hay que renombrar los logs de netlogon, ponerlos en un solo directorio y correr el siguiente comando: FindStr /I User1 *netlogon*.log >c:\user1.txt De los logs resultantes hay que analizar cul es la mquina desde la cual provienen la mayora de los intentos con contrasea incorrecta. La mquina culpable ser la que presente un intento que no diga via, si dice que el logon fue via computername, entonces hay que analizar el netlogon.log de computername. Si la mquina que dice via no es un controlador de dominio verifique que tipo de servicios provee, para que sepa que analizar en la mquina cliente. Por ejemplo, si se trata de un servidor de Exchange, entonces hay que analizar el Outlook de la mquina cliente.
http://blogs.technet.com/b/latam/archive/2006/03/17/423428.aspx
16/08/2012
El ABC del bloqueo de cuentas - LATAM Team blog - Site Home - TechNet Blogs
Pgina 3 de 3
Para ms informacin de cmo capturar trfico con Network Monitor: 812953 How to use Network Monitor to capture network traffic http://support.microsoft.com/default.aspx?scid=kb;EN-US;812953 Servidor Logging de eventos de Kerberos. Ver seccin anterior. Dejar capturando un Network trace utilizando los pasos listados anteriormente. Cuando ocurra nuevamente el problema y se tenga todo el logging activado el proceso para detectar el servicio culpable es el siguiente: 1. Encontrar en los eventos de seguridad o en los logs de netlogon la hora y fecha en que ocurrieron los intentos con contrasea incorrecta desde la mquina en donde se activ el alockout.txt, el kerberos logging y/o el network trace. 2. Analizar el alockout.txt, el log de sistema por los eventos de kerberos y/o el network trace, buscando por eventos o paquetes correspondientes a la misma hora y fecha en que ocurri el bloqueo. Estos deberan de proveernos con algn rastro del servicio causando el problema. 3. Una alternativa en caso de que los logs no provean suficiente informacin es buscar por lo obvio en la mquina cliente culpable. Revisar lo recomendado en la seccin de Common Causes for Account Lockouts del documento Account Passwords and Policies
Comments
http://blogs.technet.com/b/latam/archive/2006/03/17/423428.aspx
16/08/2012