Solucionar problemas de bloqueio de conta com um domínio gerenciado do Microsoft Entra Domain Services
Para evitar repetidas tentativas de acesso mal-intencionadas, um domínio gerenciado do Microsoft Entra Domain Services bloqueia as contas após um limite definido. Esse bloqueio de conta também pode ocorrer por acidente, sem que haja um ataque de tentativa de acesso. Por exemplo, se um usuário inserir repetidamente a senha errada ou um serviço tentar usar uma senha antiga, a conta será bloqueada.
Este artigo de solução de problemas descreve por que os bloqueios de conta acontecem, como você pode editar esse comportamento e como examinar as auditorias de segurança para solucionar problemas de eventos de bloqueio.
O que é um bloqueio de conta?
Uma conta de usuário em um domínio gerenciado do Domain Services é bloqueada quando um determinado limite de tentativas de entrada malsucedidas é atingido. Esse comportamento de bloqueio de conta foi projetado para protegê-lo de tentativas repetidas de entrada à força que podem indicar um ataque digital automatizado.
Por padrão, após cinco tentativas de senha incorretas em dois minutos, a conta é bloqueada por 30 minutos.
Os limites de bloqueio de conta padrão são configurados usando uma política de senha refinada. Se você tiver um conjunto específico de requisitos, poderá substituir esses limites de bloqueio de conta padrão. No entanto, não é recomendado aumentar os limites para tentar reduzir o número de bloqueios de contas. Solucione primeiro a origem do comportamento de bloqueio de conta.
Política de senha refinada
As FGPPs (políticas de senha refinadas) permitem que você aplique restrições específicas para políticas de bloqueio de senha e de conta a diferentes usuários em um domínio. A FGPP afeta apenas os usuários em um domínio gerenciado. Usuários de nuvem e de domínio sincronizados no domínio gerenciado do Microsoft Entra ID são afetados somente pelas políticas de senha no domínio gerenciado. As contas dos usuários no Microsoft Entra ID ou em um diretório local não são afetadas.
As políticas são distribuídas por meio da associação de grupo no domínio gerenciado, e todas as alterações feitas são aplicadas na próxima entrada do usuário. A alteração da política não desbloqueia uma conta de usuário já bloqueada.
Para obter mais informações sobre políticas de senha refinadas e as diferenças entre os usuários criados diretamente no Domain Services versus sincronizados no Microsoft Entra ID, leia Como configurar políticas de bloqueio de conta e senha.
Motivos comuns de bloqueio de conta
Os motivos mais comuns para que uma conta seja bloqueada, sem qualquer intenção ou fator mal-intencionado, incluem os seguintes cenários:
- O usuário se bloqueou.
- Após uma alteração recente de senha, o usuário continuou a usar uma senha anterior? A política de bloqueio de conta padrão de cinco tentativas com falha em 2 minutos pode ser causada pelo usuário inserindo inadvertidamente uma senha antiga.
- Um aplicativo ou serviço relacionado ainda está com a senha antiga.
- Se uma conta for usada por aplicativos ou serviços, esses recursos poderão tentar se conectar repetidamente usando a senha antiga. Esse comportamento faz com que a conta seja bloqueada.
- Tente minimizar o uso da conta em vários aplicativos ou serviços diferentes e registre onde as credenciais são usadas. Caso a senha da conta tenha sido alterada, atualize os aplicativos ou serviços associados adequadamente.
- A senha foi alterada em um ambiente diferente e a nova senha ainda não foi sincronizada.
- Se a senha de uma conta for alterada fora do domínio gerenciado, como em um ambiente do AD DS local, pode levar alguns minutos para que a alteração da senha seja sincronizada por meio do Microsoft Entra ID e no domínio gerenciado.
- Se o usuário tentar entrar em um recurso no domínio gerenciado antes que o processo de sincronização de senha seja concluído, sua conta será bloqueada.
Solucionar problemas de bloqueios de conta com auditorias de segurança
Para solucionar problemas quando ocorrerem eventos de bloqueio de conta e descobrir sua origem, habilite as auditorias de segurança para o Domain Services. Os eventos de auditoria são capturados somente do momento em que você habilita o recurso para frente. O ideal é que você habilite as auditorias de segurança antes que ocorra um problema de bloqueio de conta para solucionar. Se uma conta de usuário apresentar problemas de bloqueio repetidamente, você poderá habilitar as auditorias de segurança para a próxima vez que a situação ocorrer.
Depois de habilitar as auditorias de segurança, os exemplos de consulta a seguir mostram como examinar Eventos de Bloqueio de Conta, código 4740.
Exibir todos os eventos de bloqueio de conta dos últimos sete dias:
AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
Exibir todos os eventos de bloqueio de conta nos últimos sete dias para a conta denominada driley.
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
| where "driley" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
Exiba todos os eventos de bloqueio de conta entre 26 de junho de 1 às 9h e 1 de junho de 2020 a meia-noite, com classificação crescente de acordo com data e hora:
AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-26 09:00) and TimeGenerated <= datetime(2020-07-01)
| where OperationName has "4740"
| sort by TimeGenerated asc
Você pode encontrar os detalhes do evento 4776 e 4740 de "Estação de Trabalho de Origem:" vazios. Isso ocorre porque a senha incorreta foi inserida no acesso à rede por meio de alguns outros dispositivos.
Por exemplo, um servidor RADIUS pode encaminhar a autenticação para o Domain Services.
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: logon de Rede Transitiva de contoso\Nagappan.Veerappan from (via LOB11-RADIUS) inserido
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: logon de Rede Transitiva de contoso\Nagappan.Veerappan from (via LOB11-RADIUS) retorna 0xC000006A
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: logon de Rede Transitiva de contoso\Nagappan.Veerappan from (via LOB11-RADIUS) inserido
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: logon de Rede Transitiva de contoso\Nagappan.Veerappan from (via LOB11-RADIUS) retorna 0xC000006A
Habilite o RDP para seus DCs em NSG para o back-end a fim de configurar a captura de diagnóstico (ou seja, netlogon). Para obter mais informações sobre requisitos, consulte Regras de segurança de entrada.
Se você já tiver modificado o NSG padrão, siga: Porta 3389 – gerenciamento usando a Área de Trabalho Remota.
Para habilitar o log do Netlogon em qualquer servidor, siga: Como habilitar o log de depuração para o serviço Netlogon.
Próximas etapas
Para obter mais informações sobre políticas de senha refinadas para ajustar os limites de bloqueio de conta, confira Configurar políticas de bloqueio de conta e senha.
Se você ainda tiver problemas para ingressar sua VM no domínio gerenciado, encontre ajuda e abra um tíquete de suporte no Microsoft Entra ID.