Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Para evitar repetidas tentativas de início de sessão maliciosas, um domínio gerido pelos Serviços de Domínio Microsoft Entra bloqueia contas após um limite definido. Este bloqueio de conta também pode acontecer por acidente, sem um incidente de ataque de login. Por exemplo, se um usuário digitar repetidamente a senha errada ou um serviço tentar usar uma senha antiga, a conta será bloqueada.
Este artigo de solução de problemas descreve por que os bloqueios de conta acontecem e como você pode configurar o comportamento, além de como revisar as auditorias de segurança para solucionar problemas de eventos de bloqueio.
O que é um bloqueio de conta?
Uma conta de usuário em um domínio gerenciado dos Serviços de Domínio é bloqueada quando um limite definido para tentativas de entrada malsucedidas é atingido. Esse comportamento de bloqueio de conta foi projetado para protegê-lo de repetidas tentativas de entrada por força bruta que podem indicar um ataque digital automatizado.
Por padrão, se houver 5 tentativas de senha incorreta em 2 minutos, a conta será bloqueada. Ele será desbloqueado automaticamente após 30 minutos.
Os limites de bloqueio de conta padrão são configurados usando a política de senha refinada. Se você tiver um conjunto específico de requisitos, poderá substituir esses limites padrão de bloqueio de conta. No entanto, não é recomendado aumentar os limites de limite para tentar reduzir o número de bloqueios de contas. Solucione problemas na origem do comportamento de bloqueio de conta primeiro.
Política de senha refinada
As políticas de senha refinadas (FGPPs) permitem aplicar restrições específicas para políticas de bloqueio de senha e conta a diferentes usuários em um domínio. O FGPP afeta apenas usuários dentro de um domínio gerenciado. Os usuários de nuvem e os usuários de domínio sincronizados no domínio gerenciado a partir do ID do Microsoft Entra são afetados apenas pelas políticas de senha dentro do domínio gerenciado. Suas contas no Microsoft Entra ID ou em um diretório local não são afetadas.
As políticas são distribuídas por meio da associação de grupo no domínio gerenciado e todas as alterações feitas são aplicadas na próxima entrada do usuário. Alterar a política não desbloqueia uma conta de usuário que já está bloqueada.
Para obter mais informações sobre políticas de senha refinadas e as diferenças entre usuários criados diretamente nos Serviços de Domínio versus sincronizados a partir do ID do Microsoft Entra, consulte Configurar políticas de bloqueio de senha e conta.
Motivos comuns de bloqueio de conta
Os motivos mais comuns para uma conta ser bloqueada, sem qualquer intenção ou fatores maliciosos, incluem os seguintes cenários:
-
O usuário se bloqueou.
- Após uma recente alteração de senha, o usuário continuou a usar uma senha anterior? A política de bloqueio de conta padrão de cinco tentativas falhadas em 2 minutos pode ser causada por o usuário tentar inadvertidamente uma senha antiga.
-
Existe uma aplicação ou serviço que tem uma palavra-passe antiga.
- Se uma conta for usada por aplicativos ou serviços, esses recursos poderão tentar entrar repetidamente usando uma senha antiga. Esse comportamento faz com que a conta seja bloqueada.
- Tente minimizar o uso da conta em vários aplicativos ou serviços diferentes e registre onde as credenciais são usadas. Se uma senha de conta for alterada, atualize os aplicativos ou serviços associados de acordo.
-
senha foi alterada em um ambiente diferente e a nova senha ainda não foi sincronizada.
- Se uma senha de conta for alterada fora do domínio gerenciado, como em um ambiente AD DS local, pode levar alguns minutos para que a alteração de senha seja sincronizada por meio do ID do Microsoft Entra e no domínio gerenciado.
- Um usuário que tenta entrar em um recurso no domínio gerenciado antes que o processo de sincronização de senha seja concluído faz com que sua conta seja bloqueada.
Solucionar problemas de bloqueios de contas com auditorias de segurança
Para solucionar problemas quando ocorrem eventos de bloqueio de conta e de onde vêm, habilite auditorias de segurança para os Serviços de Domínio. Os eventos de auditoria só são capturados a partir do momento em que você habilita o recurso. Idealmente, você deve habilitar as auditorias de segurança antes de haver um problema de bloqueio de conta para a resolução de problemas. Se uma conta de usuário tiver repetidamente problemas de bloqueio, você poderá habilitar auditorias de segurança prontas para a próxima vez que a situação ocorrer.
Depois de habilitar as auditorias de segurança, as consultas de exemplo a seguir mostram como revisar Eventos de Bloqueio de Conta, código 4740.
Veja todos os eventos de bloqueio de conta dos últimos sete dias:
AADDomainServicesAccountManagement
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
Ver todos os eventos de bloqueio de conta nos últimos sete dias para a conta denominada driley.
AADDomainServicesAccountLogon
| where TimeGenerated >= ago(7d)
| where OperationName has "4740"
| where "driley" == tolower(extract("Logon Account:\t(.+[0-9A-Za-z])",1,tostring(ResultDescription)))
Veja todos os eventos de bloqueio de conta entre 26 de junho de 2020 às 9h e a meia-noite de 1º de julho de 2020, classificados em ordem crescente por data e hora:
AADDomainServicesAccountManagement
| where TimeGenerated >= datetime(2020-06-26 09:00) and TimeGenerated <= datetime(2020-07-01)
| where OperationName has "4740"
| sort by TimeGenerated asc
Você pode encontrar nos eventos 4776 e 4740 os detalhes de "Source Workstation: " vazios. Isso ocorre porque ocorreu um erro de senha no logon de rede a partir de outros dispositivos.
Por exemplo, um servidor RADIUS pode encaminhar a autenticação para os Serviços de Domínio.
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: Logon de rede transitivo de contoso\Nagappan.Veerappan de (via LOB11-RADIUS) Inserido
03/04 19:07:29 [LOGON] [10752] contoso: SamLogon: Logon de rede transitivo de contoso\Nagappan.Veerappan de (via LOB11-RADIUS) retorna 0xC000006A
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: Logon de rede transitivo de contoso\Nagappan.Veerappan de (via LOB11-RADIUS) Inserido
03/04 19:07:35 [LOGON] [10753] contoso: SamLogon: Logon de rede transitivo de contoso\Nagappan.Veerappan de (via LOB11-RADIUS) retorna 0xC000006A
Habilite o RDP para seus controladores de domínio (DCs) no NSG para o back-end a fim de configurar a captura de diagnóstico (netlogon). Para obter mais informações sobre requisitos, consulte Regras de segurança de entrada.
Se você já modificou o NSG padrão, siga Porta 3389 - gerenciamento usando a área de trabalho remota.
Para habilitar o registo do Netlogon em qualquer servidor, siga Ativar o registo de depuração para o serviço Netlogon.
Próximos passos
Para obter mais informações sobre políticas de senha refinadas para ajustar os limites de bloqueio de conta, consulte Configurar políticas de senha e bloqueio de conta.
Se ainda tiveres problemas em associar a tua VM ao domínio gerido, procura ajuda e abre um pedido de suporte para o Microsoft Entra ID.