Windows ti permette di impostare una soglia di blocco degli account per definire il numero di volte in cui un utente può tentare di accedere con una password non valida prima che l'account venga bloccato. Puoi definire anche l'intervallo di tempo per cui un account rimane bloccato nelle impostazioni della durata del blocco dell'account. Questi criteri di blocco degli account aiutano a difendere la tua rete dai tentativi di scoprire la password e i potenziali attacchi basati su tentativi ripetuti. Criteri stringenti possono far sì che gli utenti abbiano meno tentativi a disposizione per ricordarsi le password, rimanendo quindi bloccati più spesso.
Windows genera due tipi di eventi relativi ai blocchi degli account. ID evento 4740 viene generato su controller di dominio, server Windows e workstation ogni volta che un account rimane bloccato. ID evento 4767 viene generato ogni volta che un account viene sbloccato. In questa guida, porremo l'attenzione sull'ID evento 4740.
ID evento 4740: proprietà dell'evento
ID evento 4740: scheda dei dettagli
Suddividiamo le proprietà di questo evento in soggetto, account che è stato bloccato e informazioni aggiuntive, come mostrato nella scheda Generale (Fig. 1).
ID di sicurezza: Il SID dell'account che ha effettuato l'operazione di blocco.
Nome dell'account: Il nome dell'account che ha effettuato l'operazione di blocco.
Dominio dell'account: Il nome del computer o del dominio. I formati possono variare per includere il nome del NETBIOS, il nome del dominio con lettere minuscole o il nome del dominio con lettere maiuscole.
In caso di principali di sicurezza ben noti, questo campo è "NT AUTHORITY", mentre per gli account utente locali questo campo contiene il nome del computer a cui appartiene questi account.
ID dell'accesso: L'ID dell'accesso ti aiuta a correlare questo evento con gli eventi recenti che potrebbero contenere lo stesso ID di accesso (per esempio ID evento 4625).
ID di sicurezza: Il SID dell'account che è stato bloccato. Windows tenta di risolvere i SID e visualizza il nome dell’account. Se non è possibile risolvere il SID, vengono visualizzati i dati di origine nell'evento.
Nome dell'account: Il nome dell'account che è stato bloccato.
Nome del computer chiamante: Il nome dell'account del computer (per esempio, JOHN-WS12R2) da cui è stato generato il tentativo di accesso.
Sebbene tu possa allegare un'attività al registro di sicurezza e chiedere a Windows di inviarti un'e-mail, hai la limitazione della ricezione di un'e-mail quando viene generato l'ID evento 4740, con Windows che non ha la capacità di applicare filtri più dettagliati.
Con uno strumento come ADAudit Plus, non solo puoi applicare filtri dettagliati per puntare l'attenzione sulle minacce reale, ma potrai anche ricevere una notifica in tempo reale tramite SMS.
Usufruisci di analisi statistiche avanzate e di tecniche di apprendimento automatico per rilevare i comportamenti anomali all’interno della tua rete.
Soddisfa vari standard di conformità come SOX, HIPAA, PCI, FISMA, GLBA e GDPR, con report di conformità pronti all'uso.
Scarica ADAudit Plus e inizia a ricevere gli avvisi in tempo reale dopo meno di 30 minuti. Grazie a oltre 200 avvisi e report preconfigurati, ADAudit Plus garantisce che la tua Active Directory sia protetta e conforme.