Apoyo
 
Nosotros: + 1888 720 9500
Estados Unidos: +1888791 1189
Internacional: +1925924 9500
Aus: +1800 631268
Reino Unido: 0800 028 6590
CN: +86400660 8680

Marcación interna directa: +1 408 916 9892

Características

Id. De evento de Windows 4740: se bloqueó una cuenta de usuario.

Introducción

Windows le permite establecer un umbral de bloqueo de cuenta para definir la cantidad de veces que un usuario puede intentar iniciar sesión con una contraseña no válida antes de que su cuenta sea bloqueada. También puede definir la cantidad de tiempo que una cuenta permanece bloqueada con la configuración de duración del bloqueo de la cuenta . Estas políticas de bloqueo de cuentas ayudan a defender su red contra intentos de adivinar contraseñas y posibles ataques de fuerza bruta. Sin embargo, las políticas estrictas podrían significar que los usuarios tienen menos intentos de recordar las contraseñas, lo que los lleva a bloquear sus cuentas con más frecuencia.

Windows genera dos tipos de eventos relacionados con los bloqueos de cuentas. El Id. De evento 4740 se genera en controladores de dominio, servidores de Windows y estaciones de trabajo cada vez que se bloquea una cuenta. El Id. De evento 4767 se genera cada vez que se desbloquea una cuenta. En esta guía, nos centraremos en el ID de evento 4740.

Id. De suceso 4740: propiedades del suceso

Id. De suceso 4740: propiedades del suceso

Id. De evento 4740: pestaña Detalles

Id. De evento 4740: pestaña Detalles

identificar el motivo del bloqueo de la cuenta

Campos de eventos y motivos para monitorearlos

Desglosemos las propiedades de este evento por Asunto, Cuenta bloqueada e Información adicional, como se muestra en la pestaña General (Fig. 1).

Sujeto:

ID de seguridad: el SID de la cuenta que realizó la operación de bloqueo.

Debido a que el evento ID 4740 generalmente lo activa la cuenta del SISTEMA, le recomendamos que supervise este evento y lo informe siempre que el Asunto \ ID de seguridad no sea "SISTEMA".

Nombre de cuenta: el nombre de la cuenta que realizó la operación de bloqueo.

Dominio de la cuenta: el dominio o el nombre de la computadora. Los formatos pueden variar para incluir el nombre NETBIOS, el nombre de dominio completo en minúsculas o el nombre de dominio completo en mayúsculas.

Para los principales de seguridad conocidos, este campo es "NT AUTHORITY" y para las cuentas de usuarios locales, este campo contendrá el nombre del equipo al que pertenece esta cuenta.

ID de inicio de sesión: el ID de inicio de sesión le ayuda a correlacionar este evento con eventos recientes que pueden contener el mismo ID de inicio de sesión (por ejemplo , ID de evento 4625 ).

Cuenta bloqueada:

ID de seguridad: el SID de la cuenta que se bloqueó . Windows intenta resolver los SID y mostrar el nombre de la cuenta. Si el SID no se puede resolver, verá los datos de origen en el evento.

Nombre de cuenta: el nombre de la cuenta que se bloqueó.

Supervise todos los eventos 4740 en los que el Nombre de cuenta corresponde a una lista específica de cuentas de alto valor como CXO y administradores de TI. También audite este evento para las cuentas que se monitorean para cada cambio.

Información adicional:

Nombre de la computadora que llama : El nombre de la cuenta de la computadora (por ejemplo, JOHN-WS12R2) desde la cual se generó el intento de inicio de sesión.

Supervise el nombre de la computadora de la persona que llama para detectar intentos de autenticación de cuentas de usuario que no deben usarse desde puntos finales específicos, así como computadoras que no pertenecen a su red.

La necesidad de una herramienta de terceros

1. Monitoreo en tiempo real las 24 horas del día, los 7 días de la semana:

Aunque puede adjuntar una tarea al registro de seguridad y pedirle a Windows que le envíe un correo electrónico, está limitado a recibir un correo electrónico cuando se genera el ID de evento 4740, y Windows carece de la capacidad de aplicar filtros más granulares.

Por ejemplo, Windows puede enviarle un correo electrónico cuando se genere el ID de evento 4740, pero no podrá notificarle solo cuando se bloqueen cuentas de alto valor o si una solicitud de inicio de sesión proviene de un punto final no autorizado. Recibir alertas específicas reduce la posibilidad de que se pierda notificaciones críticas entre un montón de alertas falsas positivas.

Con una herramienta como ADAudit Plus, no solo puede aplicar filtros granulares para enfocarse en amenazas reales, también puede recibir notificaciones en tiempo real a través de SMS.

2. Análisis de comportamiento de usuarios y entidades (UEBA):

Aproveche el análisis estadístico avanzado y las técnicas de aprendizaje automático para detectar comportamientos anómalos dentro de su red.

3. Informes listos para el cumplimiento:

Cumpla con varios estándares de cumplimiento, como SOX, HIPAA, PCI, FISMA, GLBA y el GDPR, con informes de cumplimiento listos para usar.

Verdadero llave en mano: no hay nada más simple que esto

Pase de descargar ADAudit Plus a recibir alertas en tiempo real en menos de 30 minutos. Con más de 200 informes y alertas preconfigurados, ADAudit Plus garantiza que su Active Directory se mantenga seguro y conforme.

¡Pruébalo gratis!

 

Los 8 identificadores de eventos de seguridad de
Windows más críticos

Al hacer clic en ' Descargar guía gratuita ', acepta el procesamiento de datos personales de acuerdo con la Política de privacidad .

 
 
 
 

ADAudit Plus cuenta con la confianza de