Identificando origem do bloqueio de logon de rede

Compartilhe:

Em um ambiente de rede com Active Directory, o administrador de redes irá definir as políticas de segurança do que é relativo a políticas de contas de rede.

Uma das configurações aplicadas é o bloqueio de conta por tentativa de acesso, onde iremos definir quando uma conta de rede é bloqueada, depois de X tentativas de logon sem sucesso.

Portanto, é interessante saber como identificar um bloqueio de conta.

Neste artigo, iremos ver como analisar dentro do Event Viewer os logs de bloqueio de contas por tentativas erradas.

Solução


Em primeiro lugar, devemos identificar a configuração de bloqueio de contas. Pela Default Domain Policy, devemos definir esta política. No nosso caso, a Figura abaixo mostra que a conta será bloqueada após 5 tentativas falhas de login:

image

Para realizar um teste, criei um usuário comum, e tentei acessar o servidor, e após 5 tentativas, é apresentado o erro abaixo, dizendo que a conta referenciada está bloqueada:

image

A questão aqui levantada para o artigo é que, com o crescimento das redes corporativas, do uso de diversos dispositivos, você pode se deparar com necessidades específicas, onde será necessário identificar através de qual dispositivo a conta está sendo bloqueada.

Por exemplo: um usuário troca a senha no seu computador, porém, ele possui um email do Exchange configurado no seu celular e no seu notebook. Se a senha não for alterada em todos os dispositivos, consequentemente, o usuário será bloqueado, pois estará tentando realizar login com a senha inválida.

Para identificar o evento de bloqueio de conta, abra o Event Viewer, e vá até a gui Security, onde são armazenados os eventos de segurança:

image

Clique com o botão direito, Filter Current Log:

image

O evento relacionado é o 4740, portanto, na janela de filtro de log, digite o evento que desejamos localizar:

image

Ao clicar em Ok, serão exibidos apenas os logs referentes ao bloqueio de conta por tentativa inválida.

Como podemos ver na imagem abaixo, a conta CONTOS\luizbezerra foi bloqueada as 03:06:59 PM, e o Caller Computer Name identifica a origem da tentativa que bloqueou o usuário:

image

Conclusão


Neste artigo, analisamos como verificamos a origem de bloqueio de contas por tentativas de logon inválido.

Written by Luiz Bezerra

Luiz Bezerra

Luiz Bezerra é MCSA Windows Server 2012, MCT, ITIL e ISO 20.000, Administrador de Redes Microsoft, com foco em Planejamento, Implementação e Suporte a ambientes Windows.