El ABC del bloqueo de cuentas - LATAM Team blog - Site Home - TechNet Blogs

Pgina 1 de 3

El ABC del bloqueo de cuentas

LatamBlog 17 Mar 2006 11:11 AM El ABC del bloqueo de cuentas. Por: Cristhian Uribe A 6 aos de que los administradores de sistemas se empezaron a familiarizar con el Directorio Activo de Windows 2000, ya no es ningn secreto que la forma de trabajar en problemas de bloqueos inesperados de cuentas es utilizando el documento de Account Passwords and Policies, sin embargo; aun as no dejan de ser comunes las dudas e incidentes relacionados con este tema. Curiosamente, un 99% de las veces he encontrado la respuesta a esas dudas en el mismo documento. Cuando uno se introduce en la lectura del mismo, puede darse cuenta de porque es que tanta informacin es ignorada: se trata de un documento con 42 pginas. A partir de esto surgi la idea de escribir un documento que resumiera los pasos para resolver casos de bloqueos de cuentas en dominios con Windows 2000 y Windows Server 2003, sin que ste se convierta en un sustituto, sino ms bien una gua rpida para resolver casos de bloqueos de cuentas complementada por el documento de Account Passwords and Policies.

Por qu 10 intentos y no 3? Si bien el dilema ms comn es el de por qu se debe de configurar la poltica de bloqueos de cuentas a utilizar a 10 intentos con contrasea incorrecta, cuando por lo general las auditorias de seguridad recomiendan el uso de nicamente 3; en ste documento no entraremos en demasiado detalles y nicamente remarcaremos que la recomendacin de Microsoft no termina en utilizar 10 intentos con contrasea incorrecta, sino que es parte de una serie de recomendaciones como la complejidad de la contrasea, la ventana de observacin, la duracin del bloqueo, etc. los cuales hacen que las probabilidades de descifrar la contrasea sean mnimas. As mismo, recordemos que muchas aplicaciones pueden tomar ms de 3 intentos con la contrasea que se los provee, lo cual propiciar que los bloqueos sean ms comunes aumentando por lo tanto los costos de operacin tanto del help desk como del usuario, debido al tiempo que le tomar al personal de help desk el estar desbloqueando cuentas y el que le tomar a los usuarios el esperar hasta que sta sea desbloqueada. Para ms detalles utilizar el documento de Account Passwords and Policies

EL ABC. La metodologa para detectar la causa de un bloqueo de cuentas es tan simple que se puede resumir en 3 pasos:

Activar auditoria y logging. Detectar la mquina causando los intentos con contrasea incorrecta. Detectar el servicio, aplicacin o configuracin culpable.

a. Activar auditoria y logging.

El primer paso para detectar la causa de un bloqueo de cuenta inesperado consiste simplemente en configurar los controladores de dominio para capturar informacin que nos pueda guiar a encontrar desde dnde vienen los intentos con contrasea incorrecta, cuando estos ocurran nuevamente. Contamos con dos tipos disponibles: Auditoria Log de Netlogon. Auditoria. La activacin de auditoria consiste de: 1.1 Editar la poltica de Default Domain policy. 1.2 Dentro de la poltica ir a Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy. 1.3 Activar las siguientes opciones: Account Logon Events Failure Account Management Success Logon Events Failure Debido a que esta informacin aparecer en el log de seguridad de todos los controladores de dominio, se recomienda cambiar estos para que el tamao sea cuando menos 10,000KB y con la opcin de Overwrite events as needed. Log de Netlogon. Este se activa de la siguiente forma:: 2.1 Ejecutar en una ventana de comandos: nltest /dbflag:2080ffff 2.2 Reiniciar el servicio de netlogon: net stop netlogon & net start netlogon El log se generar en Systemroot\Debug\Netlogon.log en cada controlador de dominio. Cuando netlogon.log alcanza 20 MB se renombra a netlogon.bak y un nuevo netlogon.log se generar. El tamao mximo puede ser modificado en el registry cambiando el valor MaximumLogFileSize: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\Parameters Value: MaximumLogFileSize Value Type: REG_DWORD Value Data: 0 min, 0xffffffff max Value Data Default: DEFAULT_MAXIMUM_LOGFILE_SIZE (~20 MB)

b. Detectar la mquina causando los intentos con contrasea incorrecta.

Una vez que se ha activado auditoria y logging, el siguiente paso es detectar desde qu mquina estn viniendo los intentos con contrasea incorrecta, la cual llamaremos la mquina culpable.

http://blogs.technet.com/b/latam/archive/2006/03/17/423428.aspx

16/08/2012

El ABC del bloqueo de cuentas - LATAM Team blog - Site Home - TechNet Blogs

Pgina 2 de 3

Esto se realiza a travs del anlisis del log de Seguridad de todos los controladores de dominio y/o del log de Netlogon de los mismos. Antes de comenzar el anlisis, hay que escoger una cuenta que haya presentado el bloqueo para enfocar el anlisis hacia ella. Una vez que se determine la causa del bloqueo se puede emplear la misma solucin a las dems mquinas, si alguna presenta nuevamente el bloqueo; se realizar el mismo procedimiento esta vez escogiendo esta nueva cuenta. Si bien los logs de Seguridad resultan ser ms sencillos de analizar que los logs de Netlogon, cualquiera de los dos mtodos es til. El log de seguridad se puede analizar con eventcombmt.exe y el de netlogon con nlparse.exe, ambas herramientas incluidas en los Account Lockout Tools. En el caso de que uno no contenga la informacin, se puede intentar buscar en el otro. Logs de seguridad. Cmo se mencion anteriormente, podemos usar eventcombmt.exe con la opcin de Searches\Built In Searches\Account lockouts para analizar los logs de Seguridad. Esta opcin automticamente selecciona todos los controladores de dominio del dominio y busca por los event IDs 529, 644, 675, 676, y 681, los cuales estn relacionados con bloqueos de cuentas. El Event ID 644 muestra que la cuenta ha sido bloqueada y los dems muestran intentos con contrasea incorrecta. Delimitemos la bsqueda a solamente la cuenta escogida, escribiendo el nombre en la seccin de Text. Eventcombmt har la bsqueda y crear un log por cada controlador de dominio que se haya revisado y que contenga eventos que cumplan con el criterio especificado. Estos eventos nos indicarn cul es la mquina que est causando los intentos con contrasea incorrecta. Por lo general los intentos causados por un programa, script o servicio pueden ser identificados por presentar varios intentos dentro del mismo segundo. Un bloqueo causado por un usuario se ver separado por varios segundos. Es importante entender que cada intento con contrasea incorrecta es verificado una vez por el controlador de dominio que recibi la solicitud y una vez ms por el controlador de dominio con el rol de PDC Emulator, por lo que si el que log que estamos revisando es el del PDC Emulator y el intento refleja que el causante fue otro controlador de dominio, tendremos que verificar los logs de ste otro controlador de dominio a la misma hora. Si los eventos en ste controlador de dominio reflejan que el causante es otra mquina entonces habremos encontrado la mquina culpable. Logs de Netlogon. Para analizar los logs de Netlogon, hay que recolectar los logs de todos los controladores de dominio y despus analizarlos con NLParse.exe o con findstr. Cuando se utilice NLParse.exe seleccione las opciones 0xC000006A (intento con contrasea incorrecta y 0xC0000234 (Cuenta bloqueada) y despus haga clic en Extract. En el resultado final hay que identificar aquellos intentos que sean con la cuenta que escogimos y detectar la mquina desde la cul viene el intento. Para analizar varios logs a la vez se puede utilizar findstr.exe, el cual viene incluido con Windows 2000, Windows XP y Windows Server 2003. Posteriormente hay que renombrar los logs de netlogon, ponerlos en un solo directorio y correr el siguiente comando: FindStr /I User1 *netlogon*.log >c:\user1.txt De los logs resultantes hay que analizar cul es la mquina desde la cual provienen la mayora de los intentos con contrasea incorrecta. La mquina culpable ser la que presente un intento que no diga via, si dice que el logon fue via computername, entonces hay que analizar el netlogon.log de computername. Si la mquina que dice via no es un controlador de dominio verifique que tipo de servicios provee, para que sepa que analizar en la mquina cliente. Por ejemplo, si se trata de un servidor de Exchange, entonces hay que analizar el Outlook de la mquina cliente.

c. Detectar el servicio, aplicacin o configuracin culpable.

Una vez que detectemos desde qu mquina vienen los intentos el siguiente paso es activar logging en la mquina culpable y esperar a que vuelvan a ocurrir intentos con contrasea incorrecta con la cuenta del usuario y desde esta mquina. Dependiendo del tipo de mquina es el tipo de logging: Estacin de trabajo con Windows 2000 o Windows XP Alockout.txt - Registrar alockout.dll de los Account Lockout Tools: Copiar la versin correcta de alockout.dll a %systemroot%\System32 Hacer doble clic al archivo appinit.reg Reiniciar la computadora. Esto generar un archivo %systemroot%\Debug\alockout.txt Logging de eventos de Kerberos. Para activar Logging de eventos de Kerberos en los clientes 3.1 Agregar el siguiente valor del registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters Registry value: LogLevel Value type: REG_DWORD Value data: 0x1 Nota: Si la llave de Parameters no existe; hay que crearla. 3.2 Reiniciar la computadora. Para automatizar el proceso se puede usar EnableKerbLog.vbs el cual viene en los Account Lockout Tools. Dejar capturando un Network trace con Network Monitor con un buffer amplio y detenerlo inmediatamente despus de que se bloquee la cuenta. Esto puede ser desde: Una mquina dedicada. (Recomendado). Conectar una mquina dedicada a un puerto de un hub en el cual la mquina culpable se encuentra conectada o a un puerto del switch haciendo mirroring del puerto de la mquina culpable. Para ms informacin ver el siguiente documento: 244209 How to Perform Network Tracing in a Switched Environment http://support.microsoft.com/default.aspx?scid=kb;EN-US;244209 En el controlador de dominio del site que valid a la mquina (en el caso de que haya slo un controlador de dominio en ese site), En la misma mquina culpable. Slo til en el caso de que los intentos no ocurran al momento de logon.

http://blogs.technet.com/b/latam/archive/2006/03/17/423428.aspx

16/08/2012

El ABC del bloqueo de cuentas - LATAM Team blog - Site Home - TechNet Blogs

Pgina 3 de 3

Para ms informacin de cmo capturar trfico con Network Monitor: 812953 How to use Network Monitor to capture network traffic http://support.microsoft.com/default.aspx?scid=kb;EN-US;812953 Servidor Logging de eventos de Kerberos. Ver seccin anterior. Dejar capturando un Network trace utilizando los pasos listados anteriormente. Cuando ocurra nuevamente el problema y se tenga todo el logging activado el proceso para detectar el servicio culpable es el siguiente: 1. Encontrar en los eventos de seguridad o en los logs de netlogon la hora y fecha en que ocurrieron los intentos con contrasea incorrecta desde la mquina en donde se activ el alockout.txt, el kerberos logging y/o el network trace. 2. Analizar el alockout.txt, el log de sistema por los eventos de kerberos y/o el network trace, buscando por eventos o paquetes correspondientes a la misma hora y fecha en que ocurri el bloqueo. Estos deberan de proveernos con algn rastro del servicio causando el problema. 3. Una alternativa en caso de que los logs no provean suficiente informacin es buscar por lo obvio en la mquina cliente culpable. Revisar lo recomendado en la seccin de Common Causes for Account Lockouts del documento Account Passwords and Policies

Comments

http://blogs.technet.com/b/latam/archive/2006/03/17/423428.aspx

16/08/2012