Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosMejores prácticas
Mejores prácticas para el bloqueo de cuentas

Mejores prácticas para el bloqueo de cuentas

Mejores prácticas para el bloqueo de cuentas

Mejores prácticas para configurar una política de bloqueo de cuenta

Cree una directiva GPO de bloqueo de cuenta y edítela en “Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy” utilizando los siguientes parámetros:

  • Duración del bloqueo de cuenta: 1440 minutos
  • Umbral de bloqueo de cuenta: 10 intentos de inicio de sesión inválidos
  • Restablecer bloqueo de cuenta después de: 0 minutos [la cuenta no se desbloquea automáticamente]

Investigando todos los bloqueos de cuenta

Para investigar bloqueos de cuentas, necesitas capturar registros que te ayudarán a rastrear su origen. Sigue los siguientes pasos:

  • Habilite la auditoría de eventos de inicio de sesión. Consulte la Logon Auditing Quick Reference Guide.
  • Habilite el registro de Netlogon. Consulte la Account Lockout Troubleshooting Quick Reference Guide.
  • Habilite el registro de Kerberos.
  • Analice los datos de los archivos de registro de eventos de seguridad y los archivos de registro de Netlogon para ayudarle a determinar dónde están ocurriendo los bloqueos y por qué.
  • Analice los registros de eventos en la computadora que está generando los bloqueos de cuenta para determinar la causa.

Causas comunes de bloqueos de cuenta

  • Ataque de fuerza bruta (verificar si el puerto RDP 3389 está abierto a internet)
  • Replicación de Active Directory
  • Programas con credenciales de usuario en caché
  • Cuentas de servicio con contraseñas recientemente cambiadas o caducadas
  • El umbral de contraseña incorrecta está configurado demasiado bajo
  • Usuario iniciando sesión en múltiples computadoras
  • Los nombres de usuario y contraseñas almacenados contienen credenciales redundantes
  • Tareas programadas
  • Mapeos de unidades compartidas
  • Sesiones de Terminal Server desconectadas
  • Dispositivos móviles accediendo al servidor Exchange a través de IIS

Herramientas de bloqueo y gestión de cuentas que ayudan con las investigaciones

Resumen de la política de bloqueo de cuentas de Active Directory

Una política de bloqueo de cuenta deshabilita una cuenta de usuario si se introduce una contraseña incorrecta un número especificado de veces durante un período determinado. Esta política le ayuda a prevenir que los atacantes adivinen las contraseñas de los usuarios, reduciendo la posibilidad de ataques exitosos en su red. Cuando se establece la política, cada intento fallido de inicio de sesión en el dominio se registra en el controlador de dominio principal (PDC). Cuando se alcanza el umbral, el PDC bloquea la cuenta e impide que se inicie sesión con éxito. Cuando la contraseña es restablecida por un administrador o después del período de tiempo de duración del bloqueo de cuenta de AD que usted especifique, el usuario puede iniciar sesión con éxito nuevamente, por ejemplo, en Windows 7.

Investigación de bloqueos de cuenta

Bloquear automáticamente las cuentas después de varios intentos fallidos de inicio de sesión es una práctica común, ya que los intentos fallidos de inicio de sesión pueden ser una señal de un intruso o malware intentando ingresar a su sistema de TI. Antes de desbloquear una cuenta, es prudente averiguar por qué se proporcionaron contraseñas incorrectas repetidamente; de lo contrario, aumenta el riesgo de acceso no autorizado a sus datos sensibles.

El primer paso en el proceso de resolución de problemas es identificar el origen de los fallos de autenticación que provocaron el bloqueo de la cuenta. Hay varias herramientas de account lockout management diseñadas para asistir con este proceso.

Dado que el emulador PDC es responsable del procesamiento del bloqueo de cuenta, este debería ser el primer DC que verifiques en el proceso de solución de problemas. Si estás utilizando Windows Server 2008 R2 o posterior, deberías habilitar la auditoría de gestión de cuentas de usuario en la configuración de Política de Auditoría Avanzada. Luego determina cuáles de las siguientes modificaciones a la política de bloqueo de cuenta ya se han realizado en tu entorno y reconfigúralas de acuerdo con este documento de mejores prácticas de bloqueo de cuenta.

Dado que los eventos de bloqueo de cuenta se registran en el log de eventos de seguridad de Windows, debe filtrar por el eventID 4740. Revise los eventos para localizar la cuenta afectada. Los detalles del evento contendrán información sobre el ordenador donde ocurrió el bloqueo de cuenta. Lo mismo se puede hacer con el software de bloqueo de cuenta de Windows 7.

Luego vaya a la cuenta de destino bloqueada en Windows 7 u otra máquina y revise sus registros de seguridad, aplicación y sistema en busca de anomalías. Si la máquina de destino es un servidor Exchange, revise sus registros de IIS para una dirección IP externa que esté causando un bloqueo. Si los puertos RDP están abiertos a Internet, bloquéelos y luego verifique nuevamente los futuros bloqueos de cuenta.

Resuelva los bloqueos de cuenta más rápidamente:

Detecte eventos de bloqueo, investigue la causa raíz y desbloquee cuentas, todo con una herramienta sencilla

Descargar Freeware

Compartir en

Recursos Relacionados

Profundiza con nuestros recursos relacionados

Centro de Recursos
eBook

Facilitando la prevención de pérdida de datos con Netwrix Solutions

Prevención de Pérdida de Datos
eBook

Desplegando software en Windows: Doloroso pero no tiene que serlo

Endpoint Management