Resolva bloqueios da conta do AD em alguns cliques
usando o ADAudit Plus

Algumas das causas mais comuns de bloqueio são:

• Programas que usam credenciais armazenadas em cache
• Credenciais armazenadas em cache expiradas usadas pelos serviços do Windows
• Threshold baixo para tentativas de senha
• Colaboradores conectados em vários dispositivos
• Credenciais redundantes retidas para nomes de usuário e senhas armazenados
• Credenciais obsoletas usadas por tarefas agendadas
• Mapeamentos de drives compartilhados inadequados
• Problemas de replicação de conta do AD

Há diversas ferramentas que ajudam a rastrear a origem de bloqueios repetidos de contas, a maior parte das quais demanda muito esforço e tempo. Elas são:

Ferramentas de bloqueio e gerenciamento de conta da Microsoft

A Microsoft oferece as ferramentas LockoutStatus e EventCombMT. Embora confiáveis e precisas, a utilização de ferramentas da Microsoft requer diversas ferramentas individuais que precisam ser configuradas, investigação manual de rotina de todos os componentes do Windows e etc.

Scripts no PowerShell

Além dos administradores terem conhecimento da linguagem de script, a utilização dos scripts no PowerShell requer a configuração manual da auditoria de segurança do AD. Isso inclui encontrar o controlador de domínio que possui a função de emulador do controlador de domínio principal, rastrear o ID 4740 do Windows Event nos logs de evento de segurança e analisar os detalhes do evento encontrado.

Examinadores de bloqueio de conta

Uma solução de terceiros como o ADAudit Plus, que é capaz de analisar diversos componentes do Windows, como tarefas agendadas, objetos COM, OWA, aplicações e ActiveSync em busca de sinais de credenciais desatualizadas e mapeamento inadequado, ajuda muito a encontrar rapidamente a origem de bloqueios de conta repetidos.

Embora não seja possível evitar todos os bloqueios, a implementação dessas três melhores práticas pode reduzir significativamente seu número.

Habilitar a política "Duração do bloqueio de conta"

A duração do bloqueio de conta depende de informações específicas da organização, como a contagem de usuários ou o tipo de setor. Definir a duração como zero manterá a conta segura, bloqueando a conta até que um administrador a desbloqueie. No entanto, isso também resulta em solicitações excessivas ao help desk.

A duração recomendada é entre 30 e 60 minutos

Utilizar a política "Threshold de bloqueio de conta"

Se o threshold de bloqueio de conta for definido com um valor muito baixo, os bloqueios acidentais serão frequentes. Isso também poderia tornar a conta vulnerável a ataques de negação de serviço, pois é mais fácil para o invasor inserir intencionalmente as senhas incorretas para bloquear a conta. Por outro lado, se o threshold for definido com um valor muito alto, a probabilidade de um ataque de força bruta bem-sucedido aumenta, pois o invasor tem mais oportunidades de tentar adivinhar as credenciais.

O threshold recomendado é de 15 a 50.

Configurar a política "Redefinir contador de bloqueio de conta após"

Ao calcular o valor de "redefinir contador de bloqueio de conta após", as organizações precisam ter em mente o tipo e o nível de ameaças de segurança que enfrentam e equilibrá-lo com o custo das chamadas ao help desk. Esse valor deve ser menor ou igual à duração do bloqueio da conta.

A configuração recomendada é qualquer valor inferior a 30 minutos.