BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Directivas Windows 2000 Server

1
BocaDePez
BocaDePez

Hola a todos,

Alguien sabe si es posible que una cuenta de usuario de Windows 2000 se pueda bloquear sola si no se loguea en el sistema durante un periodo de tiempo determinado ?
Estoy mirando en las directivas de windows y no veo nada al respecto, unicamente la del bloqueo en caso de password incorrecto.

Por otro lado, hay alguna forma de ver en windows 2000 Server, el numero de intentos fallidos de un determinado usuario ? El visor de sucesos muestra los intentos fallidos pero en ningun sitio recopila que X usuario ha hecho X intentos fallidos.

No se si esto es posible.

Quizá alguna herramienta de terceros que sea mas completa ?

Gracias y un saludo.

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
JoeDalton

Para lo primero, puedes habilitar ciertas horas dónde el usuario puede realizar inicio de sesión.

Para lo segundo creo que te deja un registro en la directiva de seguridad de la máquina.

🗨️ 5
BocaDePez
BocaDePez

Gracias por tu respuesta,

Lo de activar la franja horaria no me interesa, ya que lo que busco es que cuando algun usuario no se loguea en el sistema, por el motivo que sea, durante X tiempo, mi idea es que la cuenta quede bloqueada y no se pueda entrar con dicha cuenta a ninguna hora, hasta que no se quite el bloqueo. Esto en Windows 2000 Server, por lo que he visto no lo permite (cosa que me extraña).

En cuanto a lo que me dices de "deja un registro en la directiva de seguridad de la máquina" supongo que te refieres al resgistro de seguirdad de cada máquina. No se si es posible, pero la idea es de que si se hacen muchos intentos fallidos de entrada al sistema con una determinada cuenta, lo suyo es que en el servidor del dominio quedara reflejado en algun sitio, pero lo unico que se refleja es que cada vez que alguien falla en su contraseña un registro, pero imaginate si hay 200 cuentas de usuario... pos es un cacao controlar eso. La verdad que Windows 2000 en esto lo veo un poco verde, no se si esto en el 2003 está mejorado, porque sino vaya castaña...

Saludos.

🗨️ 4
JoeDalton

La unica opción, es poner fecha de caducidad a la cuenta.

Y windows 2003 no varía respecto eso, es exáctamente igual.

BocaDePez
BocaDePez

lo que no va a hacer el sistema operativo es tener en cuenta todas las n necesidades de control de cuentas que a cada uno se le ocurran e implementar un interfaz, para eso ya está el scripting y el uso de las reskit tools si acaso.
Creo recordar que hay una herramienta en el reskit para crear estadísticas, ahora que tendrás que buscarla y leerte la documentación, y ver si te vale para los eventos del sistema, que me parece que sí pero no estoy seguro.

🗨️ 2
Pacinside

Se echa en falta una directiva que haga eso, porque no es nada raro lo que pide, son recomendaciones estándares en la gestión de seguridad de redes.

🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

quizás crear un script que se ejecute cada dia que repase las cuentas y que bloquee las no usadas desde n dias antes hacia atrás. Revisa WMI a ver si el objeto de usuario tiene alguna propiedad que indique la fecha del último logon.

Pacinside

Con Net User /domain puedes consultar una cuenta. Entre los datos que aparecen de esa cuenta está la última vez que inició sesión. El problema es que ese valor corresponde al que tiene almacenado el controlador de dominio que ha procesado tu petición; cada DC lleva su propia cuenta!!

Efectivamente, como alguien ha dicho por aquí, hay alguna herramienta del reskit o algún script WSH para sacar esa información, pero sólo tendrás el valor del dominio (y no de cada DC) si tu Directorio Activo es 2003.

Siendo el Directorio Activo 2000, lo único que se me ocurre es que pases sendos scripts (que comprueben el último inicio de sesión) como tarea programada en cada DC del dominio. Si alguno de ellos detecta que han pasado n días desde el último, proceder al bloqueo (Net user /domain cuenta /active:no)

🗨️ 5
JoeDalton

Yo el problema que veo, es que si por ej. tienes instalado exchange, ese usuario, que a lo mejor no se loguea por estar de baja, dejaría de recibir correos al deshabilitar la cuenta.

Como detalle curioso, en el visor de eventos de sistema aparecen los intentos de conexión vía RADIUS (fallidos y correctos).

Saludos.

🗨️ 4
Pacinside

Creo que los logons de Radius no cuentan por el tipo, ya que no son inicio de sesión interactivo.

La verdad es que ignoro de qué forma afectaría a Exchange porque no lo uso, pero creo que poca respuesta pueden esperar los remitentes si el destinatario está de baja... Mmmm... 3 meses sin respuesta a los correos!!

En ese caso pienso que debería definirse una redirección a una cuenta activa del usuario que le substituyera en sus funciones, no te parece ?

🗨️ 3
JoeDalton

Cierto, no son inicios de sesión interactivos, simplemente es una integración de uno (o varios) servicio(s) que se autentifican en el directorio activo usando usuario y contraseña.

En exchange, si deshabilitas un usuario deshabilitas el buzón directamente, con lo que deja de recibir correos. ¿Lo de redirigir la cuenta? depende de la política de empresa, a mi me ha sucedido de todo, jefes de baja pero que no se redireccionaba el correo (les deshabilitas la cuenta y dejan de tener acceso y te pueden colgar por los pulgares).

Usar políticas de ese tipo (deshabilitar usuarios me refiero), es cierto que es una medida de seguridad, pero puede ser también un problema. En sitios con alta rotación, se recomienda poner una fecha de caducidad a la cuenta para que se autodeshabilite (si el usuario no puede entrar... mala suerte... que llame y que alguien le aplace la caducidad), creo recordar que la recomendación de Microsoft era esa.

Saludos.

🗨️ 2
Pacinside
🗨️ 1
JoeDalton
1