Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Para evitar repetidas tentativas de entrada mal-intencionadas, um domínio gerenciado do Microsoft Entra Domain Services bloqueia contas após um limite definido. Esse bloqueio de conta também pode acontecer por acidente, sem que haja um ataque de login. Por exemplo, se um usuário digitar repetidamente a senha errada ou um serviço tentar usar uma senha antiga, a conta será bloqueada.
Este artigo de solução de problemas descreve por que os bloqueios de conta ocorrem e como você pode configurar o comportamento e como examinar auditorias de segurança para solucionar problemas de eventos de bloqueio.
O que é um bloqueio de conta?
Uma conta de usuário em um domínio gerenciado dos Serviços de Domínio é bloqueada quando um limite definido para tentativas de entrada malsucedidas é atingido. Esse comportamento de bloqueio de conta foi projetado para protegê-lo contra repetidas tentativas de entrada de força bruta que podem indicar um ataque digital automatizado.
Por padrão, se houver 5 tentativas de senha incorretas dentro de 2 minutos, a conta será bloqueada. Ele será desbloqueado automaticamente após 30 minutos.
Os limites de bloqueio de conta padrão são configurados usando a política de senha refinada. Se você tiver um conjunto específico de requisitos, poderá substituir esses limites de bloqueio de conta padrão. No entanto, não é recomendável aumentar os limites de limite para tentar reduzir os bloqueios de conta numérica. Solucione primeiro a origem do comportamento de bloqueio da conta.
Política de senha refinada
As FGPPs (políticas de senha refinadas) permitem aplicar restrições específicas para políticas de bloqueio de senha e conta a usuários diferentes em um domínio. O FGPP afeta apenas os usuários em um domínio gerenciado. Usuários de nuvem e usuários de domínio sincronizados no domínio gerenciado da ID do Microsoft Entra são afetados apenas pelas políticas de senha dentro do domínio gerenciado. Suas contas na ID do Microsoft Entra ou em um diretório local não são afetadas.
As políticas são distribuídas por meio da associação de grupo no domínio gerenciado e todas as alterações feitas são aplicadas na próxima entrada do usuário. A alteração da política não desbloqueia uma conta de usuário já bloqueada.
Para obter mais informações sobre políticas de senha refinadas e as diferenças entre os usuários criados diretamente nos Serviços de Domínio versus sincronizados na ID do Microsoft Entra, consulte Configurar políticas de bloqueio de senha e conta.
Motivos comuns de bloqueio de conta
Os motivos mais comuns para que uma conta seja bloqueada, sem qualquer intenção ou fator mal-intencionado, incluem os seguintes cenários:
- O usuário se bloqueou.
- Após uma alteração recente de senha, o usuário continuou a usar uma senha anterior? A política de bloqueio de conta padrão de cinco tentativas com falha em 2 minutos pode ser causada pelo usuário inserindo inadvertidamente uma senha antiga.
- Há um aplicativo ou serviço que tem uma senha antiga.
- Se uma conta for usada por aplicativos ou serviços, esses recursos poderão tentar se conectar repetidamente usando a senha antiga. Esse comportamento faz com que a conta seja bloqueada.
- Tente minimizar o uso da conta em vários aplicativos ou serviços diferentes e registre onde as credenciais são usadas. Caso a senha da conta tenha sido alterada, atualize os aplicativos ou serviços associados adequadamente.
- A senha foi alterada em um ambiente diferente e a nova senha ainda não foi sincronizada.
- Se uma senha de conta for alterada fora do domínio gerenciado, como em um ambiente do AD DS local, poderá levar alguns minutos para que a alteração de senha seja sincronizada por meio da ID do Microsoft Entra e no domínio gerenciado.
- Se o usuário tentar entrar em um recurso no domínio gerenciado antes que o processo de sincronização de senha seja concluído, sua conta será bloqueada.
Solucionar problemas de bloqueios de conta com auditorias de segurança
Para solucionar problemas quando ocorrerem eventos de bloqueio de conta e de onde eles estão vindo, habilite auditorias de segurança para os Serviços de Domínio. Os eventos de auditoria são capturados somente do momento em que você habilita o recurso para frente. Idealmente, você deve habilitar auditorias de segurança antes que haja um problema de bloqueio de conta para solucionar problemas. Se uma conta de usuário tiver problemas de bloqueio repetidamente, você poderá habilitar auditorias de segurança prontas para a próxima vez que a situação ocorrer.
Depois de habilitar auditorias de segurança, as consultas de exemplo a seguir mostram como examinar eventos de bloqueio de conta, código 4740.
Exiba todos os eventos de bloqueio da conta nos últimos sete dias:
AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
Exiba todos os eventos de bloqueio de conta dos últimos sete dias para a conta chamada driley.
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
| where "driley" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
Exiba todos os eventos de bloqueio de conta entre 26 de junho de 2020 às 9h e 1º de julho de 2020 meia-noite, classificados em ordem crescente pela data e hora:
AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-26 09:00) and TimeGenerated <= datetime(2020-07-01)
| where OperationName has "4740"
| sort by TimeGenerated asc
Você pode encontrar os detalhes do evento 4776 e 4740 de "Estação de Trabalho de Origem:" vazios. Isso ocorre porque a senha incorreta foi usada durante o logon de rede por meio de outros dispositivos.
Por exemplo, um servidor RADIUS pode encaminhar a autenticação para os Serviços de Domínio.
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: logon de Rede Transitiva de contoso\Nagappan.Veerappan from (via LOB11-RADIUS) inserido
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: logon de Rede Transitiva de contoso\Nagappan.Veerappan from (via LOB11-RADIUS) retorna 0xC000006A
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: logon de Rede Transitiva de contoso\Nagappan.Veerappan from (via LOB11-RADIUS) inserido
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: logon de Rede Transitiva de contoso\Nagappan.Veerappan from (via LOB11-RADIUS) retorna 0xC000006A
Habilite o RDP para seus DCs em NSG para o back-end a fim de configurar a captura de diagnóstico (ou seja, netlogon). Para obter mais informações sobre requisitos, consulte as regras de segurança de entrada.
Se você já modificou o NSG padrão, siga a Porta 3389 – gerenciamento usando a área de trabalho remota.
Para habilitar o log do Netlogon em qualquer servidor, siga: Como habilitar o log de depuração para o serviço Netlogon.
Próximas etapas
Para obter mais informações sobre políticas de senha refinadas para ajustar os limites de bloqueio de conta, consulte Configurar políticas de bloqueio de senha e conta.
Caso você ainda tenha problemas para unir sua VM ao domínio gerenciado, procure ajuda e abra um tíquete de suporte para o Microsoft Entra ID.