Compartir a través de

BLOQUEO DE CUENTAS, EV.4625

Anónimas
2024-06-17T08:38:53+00:00

Buenos días, tengo un servidor con Microsoft Windows server 2022 Standard, el problema es que el bloqueo de cuentas "umbral" y otras opciones no se aplican correctamente y no bloquea las IP¡s. Tengo inicios de sesión 4625 en eventviewer de auditoria.

EDITOR DE GRUPO DIRECTIVAS LOCAL Correcto,

DIRECTIVA DE SEGURIDAD LOCAL Correcto,

GPO DEFAULT DOMAIN POLICY Correcto,

CMD gpresult, no veo nada extraño.

Siguen intentando entrar por rdp a través del puerto 3389 probando contraseñas todo el rato. Lo necesito para mis trabajadores.

gpupdate /force bloqueos IP's firewall tampoco funciona, así que no entiendo que sucede. Es solo 1 dominio.

Aqui uno de los errores del event viewer de cada minutos intentando acceder en ingles administrator, cuando lo tengo configurado que a los 2 fallos bloquee 30 min.

Error de una cuenta al iniciar sesión.

Sujeto:

Id. de seguridad:		NULL SID

Nombre de cuenta:		-

Dominio de cuenta:		-

Id. de inicio de sesión:		0x0

Tipo de inicio de sesión: 3

Cuenta con error de inicio de sesión: 

Id. de seguridad:		NULL SID

Nombre de cuenta:		administrator

Dominio de cuenta:		-

Información de error:

Motivo del error:		Nombre de usuario desconocido o contraseña incorrecta

Estado:			0xC000006D

Subestado:		0xC0000064

Información de proceso:

Id. de proceso del autor de la llamada:	0x0

Nombre de proceso del autor de la llamada:	-

Información de red:

Nombre de estación de trabajo:	B\_15

Dirección de red de origen:	**IP DE INTRUSIÓN**

Puerto de origen:		0

Información de autenticación detallada:

Proceso de inicio de sesión:		NtLmSsp 

Paquete de autenticación:	NTLM

Servicios transitados:	-

Nombre de paquete (solo NTLM):	-

Longitud de clave:	0

Este evento se genera cuando se produce un error en una solicitud de inicio de sesión. Lo genera el equipo al que se intentó tener acceso.

Los campos de sujeto indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe.

El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se solicitó. Los tipos más comunes son 2 (interactivo) y 3 (red).

Los campos Información de proceso indican la cuenta y el proceso en el sistema que solicitó el inicio de sesión.

Los campos Información de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos.

Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica.

- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión.

- Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM.

- Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión.
Windows para empresas | Windows Server | Experiencia del usuario | Servicios de escritorio remoto y servicios de terminal

Pregunta bloqueada. Esta pregunta se migró desde la Comunidad de Soporte técnico de Microsoft. Puede votar si es útil, pero no puede agregar comentarios o respuestas ni seguir la pregunta. Para proteger la privacidad, los perfiles de usuario de las preguntas migradas son anónimos.

0 comentarios

1 respuesta

Ordenar por: Muy útil
Muy útil Más reciente Más antiguo
  1. Anónimas
    2024-06-17T19:21:08+00:00

    Esta respuesta ha sido traducida automáticamente. Como resultado, puede haber errores gramaticales o expresiones extrañas.

    Hola

    Para problemas de bloqueo de cuenta, además de las varias directivas de seguridad que ya ha realizado, consulte la directiva de bloqueo de cuenta en el Editor de directivas de grupo. Vaya a 'Configuración de la computadora' -> Configuración de Windows -> Configuración de seguridad -> Políticas de cuenta -> Política de bloqueo de cuenta y confirme que la política de esta entrada está habilitada y configurada. Además, habilite y configure directivas de auditoría para supervisar los eventos de inicio de sesión: 'Configuración del equipo -> Configuración de Windows -> Configuración de seguridad -> Configuración de directiva de auditoría avanzada -> Directiva de auditoría -> Inicio de sesión/Cierre de sesión'. Configure "Auditar inicio de sesión" y "Auditar cierre de sesión" y habilite "Correcto" y "Error" en la configuración para realizar un seguimiento de la información de error.

    Después de la configuración, ejecute 'gpupdate /force' para asegurarse de que se aplican todas las directivas.

    Además, habilite la autenticación de nivel de red (NLA) para que RDP proporcione una capa adicional de seguridad mediante la autenticación antes de establecer una sesión remota.

    Nota: Pueden producirse problemas graves si modifica la directiva de grupo de forma incorrecta. Por lo tanto, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, haga una copia de seguridad de la directiva de grupo antes de modificarla. Para obtener más información sobre cómo realizar una copia de seguridad y restaurar la directiva de grupo, consulte Copia de seguridad y restauración de la directiva de grupo en Windows.

    Espero que esto ayude.

    Saludos

    0 comentarios