Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBuone pratiche
Migliori pratiche per il blocco degli account

Migliori pratiche per il blocco degli account

Migliori pratiche per il blocco degli account

Migliori pratiche per la configurazione di una politica di blocco account

Crea una GPO per la policy di blocco account e modificala in “Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy” utilizzando i seguenti parametri:

  • Durata del blocco account: 1440 minuti
  • Soglia di blocco account: 10 tentativi di accesso non validi
  • Reimposta il blocco account dopo: 0 minuti [l'account non si sblocca automaticamente]

Indagine su tutti i blocchi degli account

Per indagare sui blocchi degli account, è necessario acquisire i log che vi aiuteranno a rintracciare la loro origine. Seguite i passaggi seguenti:

  • Abilita l'audit degli eventi di accesso. Si prega di fare riferimento alla Logon Auditing Quick Reference Guide.
  • Abilita il logging di Netlogon. Si prega di fare riferimento alla Account Lockout Troubleshooting Quick Reference Guide.
  • Abilita il logging di Kerberos.
  • Analizza i dati provenienti dai file di registro degli eventi di Sicurezza e dai file di registro Netlogon per aiutarti a determinare dove si verificano i blocchi e perché.
  • Analizza i log degli eventi sul computer che sta generando i blocchi dell'account per determinare la causa.

Cause comuni di blocco degli account

  • Attacco brute-force (verifica se la porta RDP 3389 è aperta su internet)
  • Replica di Active Directory
  • Programmi con credenziali utente memorizzate nella cache
  • Account di servizio con password recentemente cambiate o scadute
  • La soglia per le password inadeguate è impostata troppo bassa
  • Utente che effettua l'accesso su più computer
  • I nomi utente e le password memorizzati contengono credenziali ridondanti
  • Compiti pianificati
  • Mappature di unità condivise
  • Sessioni di Terminal Server disconnesse
  • Dispositivi mobili che accedono al server Exchange tramite IIS

Strumenti di blocco e gestione degli account che aiutano nelle indagini

Panoramica della Active Directory Account Lockout Policy

Una politica di blocco dell'account disabilita un account utente se viene inserita una password errata un numero specificato di volte in un determinato periodo. Questa politica ti aiuta a prevenire che gli attaccanti indovinino le password degli utenti, riducendo la possibilità di attacchi riusciti sulla tua rete. Quando la politica è impostata, ogni tentativo fallito di accesso al dominio viene registrato sul controller di dominio principale (PDC). Quando si raggiunge la soglia, il PDC blocca l'account e impedisce l'accesso riuscito. Quando la password viene reimpostata da un amministratore o dopo il periodo di tempo che specifichi per la durata del blocco dell'account AD, l'utente può accedere nuovamente con successo, ad esempio, a Windows 7.

Indagine sui blocchi degli account

Bloccare automaticamente gli account dopo diversi tentativi di accesso non riusciti è una pratica comune, poiché i tentativi di accesso falliti possono essere un segno di un intruso o malware che cerca di entrare nel vostro sistema IT. Prima di sbloccare un account, è saggio scoprire perché sono state fornite ripetutamente password errate; altrimenti, si aumenta il rischio di accesso non autorizzato ai vostri dati sensibili.

Il primo passo nel processo di risoluzione dei problemi è identificare la fonte dei fallimenti di autenticazione che hanno causato il blocco dell'account. Ci sono diversi account lockout management tools progettati per assistere con questo processo.

Poiché l'emulatore PDC è responsabile per l'elaborazione del blocco dell'account, questo dovrebbe essere il primo DC che controlli nel processo di risoluzione dei problemi. Se stai utilizzando Windows Server 2008 R2 o versioni successive, dovresti abilitare l'audit della gestione degli account utente nella configurazione della Politica di Audit Avanzata. Poi determina quali delle seguenti modifiche alla politica di blocco dell'account siano già state effettuate nel tuo ambiente e riconfigurale secondo questo documento di best practice sul blocco dell'account.

Poiché gli eventi di blocco dell'account vengono registrati nel registro eventi di sicurezza di Windows, si dovrebbe filtrare per eventID 4740. Esaminare gli eventi per individuare l'account interessato. I dettagli dell'evento conterranno informazioni sul computer in cui è avvenuto il blocco dell'account. Lo stesso può essere fatto con il software di blocco account di Windows 7.

Quindi vai al blocco dell'account di destinazione Windows 7 o un'altra macchina e controlla i suoi log di sicurezza, applicazione e sistema per anomalie. Se la macchina di destinazione è un server Exchange, controlla i suoi log IIS per un indirizzo IP esterno che sta causando un blocco. Se le porte RDP sono aperte a Internet, bloccale e poi verifica nuovamente per futuri blocchi dell'account.

Risolvi i blocchi degli account più velocemente:

Rileva eventi di blocco, indaga sulla causa principale e sblocca gli account – tutto con un unico strumento semplice

Scarica il Freeware

Condividi su

Risorse correlate

Approfondisci con le nostre risorse correlate

Resource Center
eBook

Facilitare la prevenzione della perdita di dati con le soluzioni Netwrix

Prevenzione della perdita di dati
eBook

Distribuire software su Windows: doloroso ma non è necessario che lo sia

Endpoint Management