Блокировка учетной записи работника компании происходит после скольки неудачных попыток

Курс по информационной безопасности для пользователей ПК ОАО «РЖД»

Учетная запись пользователя заблокирована, что делать?

В статье рассказано как войти в систему, если Windows выдает сообщение «Учетная запись пользователя заблокирована и не может быть использована для входа в сеть».

Как правило, учетные записи пользователей корпоративных компьютеров всегда защищены паролем. Зачем нужна такая защита, полагаем, объяснять не нужно, в конце концов, таковы могут быть правила организации.

Но представьте себе такую ситуацию. Сотрудник садится за компьютер, вводит свой пароль и получает уведомление о том, что его учетная запись заблокирована и не может быть использована для входа в сеть. Что же случилось и почему, недоумевает он?

Причины блокировки учетной записи Windows

А случилось вот что. Сам пользователь или кто-то до него по ошибке ввели несколько раз неправильный пароль, в результате чего учетная запись была заблокирована.

Хорошо, но почему подобное не происходит на других компьютерах, скажем, домашних. Всё очень просто. Скорее всего, обслуживающий компьютеры предприятия системный администратор установил ограничение на количество неудачных попыток авторизации в учетной записи. Направлена эта дополнительная мера безопасности на защиту от подбора пароля.

ПРИМЕЧАНИЕ : данный метод защиты работает только для локальных учетных записей без использования пин-кода.

Задается настройка в редакторе локальных групповых политик. Там, в разделе параметров безопасности есть политика блокировки учетных записей, для которой доступны три опции:

По умолчанию время блокировки для включенной настройки составляет 30 минут, но что мешает администратору его увеличить?

Получается, чтобы ввести пароль повторно, вам придется ждать, пока не истечет установленный срок, кстати, время система не сообщает, либо дожидаться прихода администратора.

Решаем проблему

Впрочем, решить проблему вы можете и самостоятельно. Самый простой способ — это зайти в Windows под учетной записью администратора и снять блокировку. Возможно это, однако, только в том случае, если админ по доброте душевной доверил вам свой пароль. Предположим, что он у вас есть.

Зайдите в учетную запись, откройте командой lusrmgr.msc оснастку управления пользователями и группами, выделите слева каталог «Пользователи» и дважды кликните по названию своей учетной записи в средней колонке.

В открывшемся окошке на вкладке «Общие» снимите галочку с пункта «Заблокировать учётную запись». Примените настройки войдите свою учетную запись с правильным паролем.

Если доступа к учетной записи с правами администратора нет, придется действовать в обход. Для этого вам понадобиться обычный установочный диск с Windows.

Загрузитесь с диска, а когда на экране появится приглашение мастера, нажмите Shift + F10 и выполните в открывшейся командной строке команду regedit.

Запустится редактор реестра. Выделите в его левой колонке раздел HKEY_LOCAL_MACHINE, проследуйте в меню «Файл» и выберите пункт «Загрузить куст».

В открывшемся окне обзора зайдите в «Этот компьютер», выберите системный раздел → Windows → System32 → config.

Обратите внимание, что буква системного раздела в загрузочной среде отличается. У нас это D, у вас она может быть другой, ориентируйтесь по содержимому раздела.

В папке config у вас будет файл SAM, откройте его в окне обзора, это и есть нужный вам куст.

Редактор тут же предложит присвоить ему имя. Название может быть любым, пусть будет data. Теперь, если вы раскроете раздел HKEY_LOCAL_MACHINE, то увидите, что в нём появился новый каталог Data.

Разверните его до следующей папки:

В последнем подразделе найдите вложенную папку с именем вашей заблокированной учетной записи, кликните по ней и запишите число, отображаемое в правой части окна редактора в колонке «Тип».

Теперь перейдите на уровень выше, в подраздел Users и выделите подраздел, в качестве имени которого будет записанное вами число.

Его формат несколько иной, с нулями спереди и заглавными символами, главное, чтобы совпадали последние три символа. В этом подразделе будет двоичный параметр F.

Кликните по нему два раза, найдите в открывшемся окошке изменения значения параметра строку 0038 и замените первые два значения на 10 и 02. Сохраните результат, выделите мышкой загруженный куст (Data) и выберите в меню «Файл» опцию «Выгрузить куст».

Закройте редактор реестра, перезагрузите систему и попробуйте войти в систему с правильным паролем.

Если первый и второй способы не сработали?

Если этот способ не сработает, сбросьте пароль любым удобным вам способом, например, воспользовавшись утилитой NTPWEdit, входящей в состав загрузочного диска Live CD AOMEI PE Builder либо диском Active Password Changer — еще одной загрузочной средой, предназначенной для сброса забытых локальных паролей в Windows.

Если же оказия произошла на вашем домашнем компьютере с одной учетной записью, загрузитесь с помощью установочного диска с Windows в безопасный режим.

При этом у вас должна автоматически активироваться встроенная скрытая учетная запись администратора без пароля. Войдя в нее, разблокируйте свою учетку способом, описанным в четвертом абзаце.

Источник

Администратор не может разблокировать «заблокированный» компьютер

Симптомы

Локальный вход в систему или домен после перезагрузки компьютера под управлением операционной системы Windows, если никто не вошел в систему, может быть невозможен.

При входе в систему может появиться следующее сообщение об ошибке:

Компьютер используется и заблокирован.
Только или администратор может снять блокировку компьютера.
Для снятия блокировки нажмите Ctrl-Alt-Del.

При попытке снятия блокировки может появиться следующее сообщение об ошибке:

Компьютер заблокирован. Снять блокировку может только или администратор.

Если пользователь вошел в систему, а затем вышел из нее, последующий вход в систему может быть невозможен (локально или к домену), при этом может отобразиться следующее сообщение об ошибке:

Компьютер используется и заблокирован.
Снять блокировку может только домен имя_пользователя или администратор.
Для снятия блокировки нажмите Ctrl-Alt-Del.

При попытке снятия блокировки может появиться следующее сообщение об ошибке:

Компьютер заблокирован. Снять блокировку может только домен имя_пользователя или администратор.

В сообщении об ошибке, приведенном выше, домен является именем домена последнего пользователя, вошедшего на сервер, а имя_пользователя — это имя последнего пользователя, вошедшего на сервер.

Причина

У подобного поведения могут быть следующие причины:

Для экранной заставки по умолчанию установлено использование несуществующей программы экранной заставки.

Использована поврежденная экранная заставка, защищенная паролем.

Решение

Внимание! В этом разделе, описании метода или задачи содержатся сведения об изменении реестра. Однако неправильное его изменение может привести к серьезным проблемам. Поэтому такие действия следует выполнять очень внимательно. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:

322756 Как создать резервную копию и восстановить реестр в Windows
Для устранения этой проблемы используйте другую неповрежденную и установленную локально программу заставки (например, Logon.scr).

Запустите редактор реестра (Regedit32.exe).

Найдите значение в следующем разделе реестра:

В меню Правка выберите пункт Строка, введите logon.scr и нажмите кнопку ОК.

Найдите параметр ScreenSaverIsSecure.

В меню Правка выберите пункт Строка, введите 0 и нажмите кнопку ОК.

Закройте редактор реестра.

ВРЕМЕННОЕ РЕШЕНИЕ

Для решения этой проблемы воспользуйтесь соответствующим способом.

Способ 1. При появлении сообщения об ошибке о том, что компьютер заблокирован домен имя_пользователя

Нажмите сочетание клавиш CTRL+ALT+DELETE для снятия блокировки.

Введите учетные данные последнего вошедшего в систему пользователя и нажмите кнопку ОК.

После исчезновения диалогового окна Снятие блокировки компьютера нажмите клавиши CTRL+ALT+DELETE и войдите в систему, как обычно.

Способ 2. Если в сообщении об ошибке не указано, кто именно заблокировал компьютер

С помощью средства выключения в наборе Microsoft Windows Resource Kit выключите заблокированный компьютер. На заблокированном компьютере отображается диалоговое окно Завершение работы системы, но перезагрузка компьютера не происходит.

По истечении времени завершения работы отображается диалоговое окно Операционная система Windows.

До активизации экранной заставки нажмите сочетание клавиш CTRL+ALT+DELETE и войдите в систему обычным образом.

ПРИМЕЧАНИЕ. Если для входа в систему не используется ни один из этих способов, необходимо перезагрузить компьютер и войти в систему до запуска программы экранной заставки.

Статус

Такое поведение является особенностью данного продукта.

Источник

Продолжительность блокировки учетной записи

Область применения

Описывает лучшие практики, расположение, значения и соображения безопасности **** для параметра политики безопасности длительности блокировки учетной записи.

Справочники

Параметр политики длительности блокировки учетной записи определяет количество минут, которые заблокированная учетная запись остается заблокированной до автоматического разблокирования. Доступный диапазон составляет от 1 до 99 999 минут. Значение 0 указывает, что учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее. Если порог блокировки учетной записи установлен на число больше нуля, продолжительность блокировки учетной записи должна быть больше или равна значению счетчика блокировки учетной записи сброса после. Этот параметр политики зависит **** от заданного параметра порогового значения блокировки учетной записи, и оно должно быть больше или равно значению, указанному для счетчика блокировки учетной записи сброса после параметра политики.

Возможные значения

Если порог блокировки учетной записи настроен, после указанного количества неудачных попыток учетная запись будет заблокирована. Если продолжительность блокировки учетной записи установлена до 0, учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее вручную.

Рекомендуется установить продолжительность блокировки учетной записи примерно до 15 минут. Чтобы указать, что учетная запись никогда **** не будет заблокирована, установите пороговое значение блокировки учетной записи до 0.

Местонахождение

Конфигурация компьютераWindows Параметрыбезопасность ПараметрыПолитики учетной записиПолитика паролей

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.

Тип сервера или объект групповой политики (GPO)	Значение по умолчанию
Политика домена по умолчанию	Не определено
Политика контроллера домена по умолчанию	Не определено
Параметры по умолчанию отдельного сервера	Неприменимо
Эффективные параметры контроллера домена по умолчанию	Не определено
Параметры сервера-участника по умолчанию	Не определено
Параметры клиентского компьютера по умолчанию	Неприменимо

Вопросы безопасности

Несколько неудачных представлений паролей при попытке войти на компьютер могут представлять попытки злоумышленника определить пароль учетной записи путем проб и ошибок. Операционные системы Windows и Windows Server могут отслеживать попытки логоса, и можно настроить операционную систему, чтобы отключить учетную запись в течение заданного периода времени после указанного количества неудачных попыток. Параметры политики блокировки учетной записи контролируют пороговое значение для этого ответа и действия, которые необходимо принять после того, как пороговое значение будет достигнуто.

Уязвимость

Условие отказа в обслуживании (DoS) может быть создано, если злоумышленник злоупотребляет параметром порогового значения блокировки учетной записи и неоднократно пытается войти в систему с определенной учетной записью. После настройки параметра порогового значения блокировки учетной записи учетная запись будет заблокирована после указанного количества неудачных попыток. Если настроить параметр политики длительности блокировки учетной записи до 0, учетная запись будет заблокирована до тех пор, пока вы не разблокируете ее вручную.

Противодействие

Настройка параметра политики длительности блокировки учетной записи до соответствующего значения для среды. Чтобы указать, что учетная запись будет заблокирована до тех пор, пока ее не разблокировать вручную, настройте значение до 0. При настройке параметра длительности блокировки учетной записи до значения nonzero автоматические попытки угадать пароли учетных записей задерживаются для этого интервала перед повторной попыткой повторного действия определенной учетной записи. Использование этого параметра в сочетании с параметром порогового значения блокировки учетной записи затрудняет попытки автоматического угадать пароль.

Возможное влияние

Настройка параметра длительности блокировки учетной записи до 0 таким образом, чтобы учетные записи не были разблокированы автоматически, может увеличить количество запросов, получаемых службой поддержки организации для разблокировки учетных записей, заблокированных по ошибке. ****

Источник

Временно блокировать компьютер, если кто-то пытается угадать ваш пароль

Если вы забыли пароль на вход в систему – по умолчанию его можно угадывать неограниченное количество раз, но как обезопасить свой компьютер от подбора вашего пароля кем-то чужим? То есть, если пока вас нет за компьютером, а кто-то в этот момент пытается его угадать, то что делать? В сегодняшней статье рассмотрим как временно блокировать компьютер, если кто-то пытается угадать ваш пароль.

Данный способ для локальных учетных записей, если вы используете учетную запись Майкрософт для входа в систему – в ее настройках можно установить двух этапную аутентификацию и доверенные устройства, что обезопасит ваш компьютер. Конечно, пароли локальный учетных записей можно сбрасывать и менять, и этот способ не защитит от сброса, но спасет от случайного подбора паролей. Некоторые люди понимают, что им нечего скрывать и просто делают вход в Windows автоматический, система тогда при включении не требует ввода имени пользователя и пароля. Но всё же, если вы читаете эту статью, то ищите способы обезопасить информацию на своем компьютере. Сегодняшняя инструкция работает в Windows 7, 8, 10 и поможет обезопасить ваш компьютер от подбора паролей.

Домашняя Windows: изменение политики паролей с командной строки.

Если на вашем компьютере установлена домашняя версия Windows – групповые политики вам недоступны, и для внесения ограничений на вход – нужно использовать командную строку. Если у вас профессиональная версия Windows – можете переходить к следующему способу, хотя этот также будет работать на вашей системе.

Сначала открываем командную строку: в Windows 10 можно просто нажать на “Пуск” правой клавишей мыши и выбрать из меню “командная строка администратор”. Во всех версиях Windows можно в поиске ввести cmd => на найденном результате нажать правой клавишей мыши и выбрать “Запустить от имени администратора”

В командной строке введите команду net accounts и нажмите Enter. Перед вами откроется текущая политика паролей. По умолчанию “Блокировка после ошибок ввода паролей” установлено “Никогда”, а это значит что вы можете вводить неправильный пароль неограниченное количество раз.

Нужно заменить значение “Блокировка после ошибок ввода паролей”, и установить порог ввода неправильных паролей. К примеру мы установим разрешение на три ввода неправильных паролей, а после четвертого неправильного ввода – будет проходить временная блокировка учетной записи. Вводим команду net accounts /lockoutthreshold:3 и нажимаем Enter. Вместо 3 можно поставить любую цифру, и эта цифра будет означать сколько раз можно вводить неправильный пароль.

Теперь вы можете изменить длительность блокировки после ввода нескольких раз неправильного пароля. То есть кто-то ввел неправильно пароль четыре раза – учетная запись заблокирована на определенное время, после прохода этого времени – можно вводить пароль еще раз и заходить в систему (если пароль введен правильно). Вводим команду net accounts /lockoutduration:30 и нажимаем Enter. 30 это время в минутах, на которое будет блокироваться учетная запись, можете задать любое.

Также можно задать время в поле “Сброс счетчика блокировок через”, данный параметр означает через сколько времени будет сбрасываться счетчик ввода неправильных паролей. То есть, если к примеру задать 15 минут для этого параметра, то введя два раза неправильный пароль – можно остановиться чтобы не заблокировало и через 15 минут будет еще три попытки до блокировки. Вводим команду net accounts /lockoutwindow:30 и нажимаем Enter. 30 – время в минутах, которое можно заменить на любое по вашему усмотрению.

После внесения изменений, можно еще раз просмотреть политику паролей введя команду net accounts и нажав Enter.

Теперь, если ввести пароль больше трёх раз неправильно – на экране будет написано “Учетная запись заблокирована и не может быть использована для входа в сеть”. Как вы видите на экране не пишется на сколько времени блокируется учетная запись, об этом знаете только вы и можете указывать любой период блокировки. Можно ждать пока пройдет заданное время и локальная учетная запись сама разблокируется, а можно ее разблокировать с помощью другой учетной записи администратора на этом компьютере, если она есть.

Если вы хотите вернуть всё как было, и сделать чтобы больше не блокировало локальную учетную запись после неправильных вводов пароля – введите через командную строку net accounts /lockoutthreshold:0 и нажмите Enter.

Windows профессиональная и корпоративная: изменение политики паролей с помощью групповых политик.

Если у вас Windows Pro или корпоративная – то вы можете использовать мощный инструмент для управления системой “групповые политики”. С его помощью можно изменить множество настроек системы, причем не только для пользователя под которым вы вошли в систему.

Чтобы задать ограничения на ввод неправильного пароля через групповые политики- нужно:

1.Открыть групповые политики: в строке поиска (или через меню выполнить win+r) введите команду gpedit.msc и нажмите Enter.

2. В открывшемся редакторе локальной групповой политики с левой стороны перейдите в Конфигурация компьютера => Конфигурация Windows => Параметры безопасности => Политика учетных записей => Политика блокировки учетной записи. С правой стороны с помощью двойного щелчка левой клавиши мыши откройте “Пороговое значение блокировки”

Пороговое значение блокировки ноль, то есть при входе в Windows можно вводить неправильный пароль сколько захотите раз. Мы же установим к примеру 3, и после ввода трёх раз неправильного пароля – будет происходить блокировка учетной записи. В поле “блокировать учетную запись после ошибок входа в систему” ставим 3 (или любое другое вам удобное число), и нажимаем “ОК”.

Перед вами всплывет уведомление, что “время для сброса счетчика блокировки” и “продолжительность блокировки” будет задана 30 мин. В этом окне вы не можете вносить никакие изменения, просто нажмите “ОК”

Вы вернетесь в предыдущее окно, где сможете изменить параметр “Время до сброса считчика блокировки” и “Продолжительность блокировки учетной записи” на нужное вам время.

После внесения нужных настроек – закройте окно редактора групповых политик, после чего ваши изменения сразу же вступят в силу. Теперь просто угадывать пароль на вашем компьютере не удастся, после ввода нескольких раз неправильного пароля – будет блокироваться локальная учетная запись на определенное время. На сегодня всё, если есть дополнения – пишите комментарии! Удачи Вам 🙂

Источник

Учётная запись пользователя заблокирована и не может быть использована для входа в сеть

Друзья, привет. Сегодняшняя статья пригодится в первую очередь корпоративным пользователям компьютеров на базе Windows, работающим со стандартными локальными учётными записями. Тогда как вход в учётные записи со статусом администратора могут выполнять только доверенные лица компании в виде сотрудников IT-раздела. Хотя при определённом семейном микроклимате с описываемой ниже проблемой можно столкнуться, используя домашние устройства. Что же за проблема такая? А это невозможность доступа к Windows с уведомлением на экране блокировки «Учётная запись пользователя заблокирована и не может быть использована для входа в сеть». Что за блокировка такая, и как с ней бороться?

Учётная запись пользователя заблокирована и не может быть использована для входа в сеть

Итак, не можем войти в Windows, потому что на экране блокировки видим это.

Такая блокировка является результатом определённого количества неудачных попыток авторизации в локальной учётке, если администратором компьютера внесены соответствующие настройки локальной групповой политики.

Блокировка учётных записей Windows

Администратор компьютера в локальных групповых политиках может установить то или иное число попыток входа в учётные записи пользователей. При превышении этого числа попыток учётка блокируется для входа. Это такая защита от подбора паролей. Даже если дело имеем не с ситуацией попытки подбора пароля к чужой учётке, а просто её истинный владелец невнимательно вводил символы или не посмотрел на раскладку клавиатуры, войти в систему не удастся даже при вводе верного пароля. Придётся выждать установленное администратором время, пока не будет сброшен счётчик попыток входа. И, естественно, пока не истечёт время самой блокировки.

Устанавливается такая защита от подбора паролей в редакторе локальной групповой политики, в политике блокировки учётных записей.

Здесь вводится пороговое значение блокировки, т.е. допустимое число попыток ввода пароля.

При установке такого порогового значения другие параметры политики – время до сброса счётчика блокировки и длительность самой блокировки – автоматически будут установлены на 30 минут.

Добавить в заметки чтобы посмотреть позже?

Их при необходимости можно сменить. И, к примеру, установить меньшее время для сброса счётчика неудачных попыток ввода пароля.

Распространяется такая защита только на локальные учётки и не работает при попытках подбора пароля или пин-кода для подключённых аккаунтов Microsoft.

Разблокировать заблокированную учётную запись можно несколькими путями:

• Дождаться завершения времени блокировки. Но здесь есть нюанс: сколько времени нужно ждать, система не уведомляет. Об этом знает только администратор компьютера;

• Войти в систему с учётки администратора и снять блокировку;

• Если доступ к учётке администратора невозможен, снять блокировку, загрузившись со съёмного устройства и подправив кое-что в реестре Windows.

Как разблокировать свою учётную запись Windows, если есть доступ к администратору

Если своя учётка заблокирована, но есть доступ к учётке администратора, необходимо войти в последнюю и разблокировать свою таким образом. Жмём клавиши Win+R, вводим:

В открывшемся окне в папке «Пользователи» ищем свою учётную запись и делаем на ней двойной клик.

В окошке открывшихся свойств снимаем галочку «Заблокировать учётную запись». Применяем.

Пробуем войти в свою учётку.

Как разблокировать свою учётную запись Windows, если нет доступа к администратору

На первом этапе установки Windows жмём Shift+F10. Запускаем реестр командной строкой:

Кликаем раздел HKEY_LOCAL_MACHINE. Далее жмём меню «Файл», здесь нам нужен пункт «Загрузить куст».

В окне обзора выходим в корень устройств «Этот компьютер» и заходим в раздел Windows. У нас он обозначен как диск (C:), но диск системы также может значиться и под другой буквой. Тут нужно ориентироваться по объёму раздела. На системном разделе раскрываем папки «Windows», далее – «System32», далее – «config». Внутри последней нам нужен файл SAM, это так называемый куст реестра, открываем его.

Открытый куст нужно как-то назвать, имя непринципиально. Назовём его 777.

Внутри раздела реестра HKEY_LOCAL_MACHINE теперь наблюдаем новую ветвь 777. Раскрываем внутри неё путь:

777 – SAM – Domains – Account – Users – Names

Находим имя своей учётки в папке «Names». Нам, например, нужен пользователь Вася. Смотрим, что при выборе Васи отображается на панели реестра справа. У нас значение 0x3f8. Такое же значение, но только в ином формате написания — с лишними нулями спереди и капсом – ищем теперь выше, внутри папки «Users».

Ставим курсор теперь на это значение с нулями и капсом. В правой панели реестра ищем параметр «F» и двойным кликом раскрываем его.

В окошке параметра нам нужна строка 0038. Её первые два значения (у нас это 10 и 00) заменяем.

Двойным кликом ЛКМ щёлкаем по очереди на каждом из двух значений, и когда те выделятся синим, вписываем другие значения. А эти другие значения должны быть 10 и 02 соответственно. В итоге жмём «Ок».

Теперь в окне реестра кликаем на загруженный и отредактированный куст, у нас это 777. И выгружаем его: жмём «Файл», далее- «Выгрузить куст».

Источник

Друзья, привет. Сегодняшняя статья пригодится в первую очередь корпоративным пользователям компьютеров на базе Windows, работающим со стандартными локальными учётными записями. Тогда как вход в учётные записи со статусом администратора могут выполнять только доверенные лица компании в виде сотрудников IT-раздела. Хотя при определённом семейном микроклимате с описываемой ниже проблемой можно столкнуться, используя домашние устройства. Что же за проблема такая? А это невозможность доступа к Windows с уведомлением на экране блокировки «Учётная запись пользователя заблокирована и не может быть использована для входа в сеть». Что за блокировка такая, и как с ней бороться?

Учётная запись пользователя заблокирована и не может быть использована для входа в сеть

Итак, не можем войти в Windows, потому что на экране блокировки видим это.

Такая блокировка является результатом определённого количества неудачных попыток авторизации в локальной учётке, если администратором компьютера внесены соответствующие настройки локальной групповой политики.     

Блокировка учётных записей Windows

Администратор компьютера в локальных групповых политиках может установить то или иное число попыток входа в учётные записи пользователей. При превышении этого числа попыток учётка блокируется для входа. Это такая защита от подбора паролей. Даже если дело имеем не с ситуацией попытки подбора пароля к чужой учётке, а просто её истинный владелец невнимательно вводил символы или не посмотрел на раскладку клавиатуры, войти в систему не удастся даже при вводе верного пароля. Придётся выждать установленное администратором время, пока не будет сброшен счётчик попыток входа. И, естественно, пока не истечёт время самой блокировки.

Устанавливается такая защита от подбора паролей в редакторе локальной групповой политики, в политике блокировки учётных записей.

Здесь вводится пороговое значение блокировки, т.е. допустимое число попыток ввода пароля.

При установке такого порогового значения другие параметры политики – время до сброса счётчика блокировки и длительность самой блокировки – автоматически будут установлены на 30 минут.

Их при необходимости можно сменить. И, к примеру, установить меньшее время для сброса счётчика неудачных попыток ввода пароля.

А время блокировки самой учётной записи, наоборот, увеличить.

Распространяется такая защита только на локальные учётки и не работает при попытках подбора пароля или пин-кода для подключённых аккаунтов Microsoft. 

Разблокировать заблокированную учётную запись можно несколькими путями:

Как разблокировать свою учётную запись Windows, если есть доступ к администратору

Если своя учётка заблокирована, но есть доступ к учётке администратора, необходимо войти в последнюю и разблокировать свою таким образом. Жмём клавиши Win+R, вводим:

lusrmgr.msc

В открывшемся окне в папке «Пользователи» ищем свою учётную запись и делаем на ней двойной клик.

В окошке открывшихся свойств снимаем галочку «Заблокировать учётную запись». Применяем.

Пробуем войти в свою учётку.

• Примечание: если у вас нет пароля к учётке администратора, не стоит пытаться войти с помощью подбора. Защита от подбора паролей действует на все локальные учётные записи, в том числе и на администратора. Его учётка после определённого количества неудачных попыток авторизации также будет заблокирована.

Как разблокировать свою учётную запись Windows, если нет доступа к администратору

Если доступа к учётной записи администратора нет, добываем DVD-диск или флешку с процессом установки любой версии Windows или Live-диск с возможностью правки реестра операционной системы. Загружаем компьютер со съёмного устройства, в нашем случае это флешка установки Windows 10. Важно: запуск со съёмного устройства должен проводиться только при перезагрузке систем Windows 8.1 и 10. Нельзя использовать обычное завершение работы, поскольку в этих версиях из-за функции ускоренного запуска системное ядро загружается из ранее сохранённого на диске файла. Нам же нужно, чтобы ядро загрузилось с изменёнными параметрами реестра.  

На первом этапе установки Windows жмём Shift+F10. Запускаем реестр командной строкой:

regedit

Кликаем раздел HKEY_LOCAL_MACHINE. Далее жмём меню «Файл», здесь нам нужен пункт «Загрузить куст».

В окне обзора выходим в корень устройств «Этот компьютер» и заходим в раздел Windows. У нас он обозначен как диск (C:), но диск системы также может значиться и под другой буквой. Тут нужно ориентироваться по объёму раздела. На системном разделе раскрываем папки «Windows», далее – «System32», далее – «config». Внутри последней нам нужен файл SAM, это так называемый куст реестра, открываем его.

Открытый куст нужно как-то назвать, имя непринципиально. Назовём его 777.

Внутри раздела реестра HKEY_LOCAL_MACHINE теперь наблюдаем новую ветвь 777. Раскрываем внутри неё путь:

777 – SAM – Domains – Account – Users – Names

Находим имя своей учётки в папке «Names». Нам, например, нужен пользователь Вася. Смотрим, что при выборе Васи отображается на панели реестра справа. У нас значение 0x3f8. Такое же значение, но только в ином формате написания —  с лишними нулями спереди и капсом – ищем теперь выше, внутри папки «Users».

Ставим курсор теперь на это значение с нулями и капсом. В правой панели реестра ищем параметр «F» и двойным кликом раскрываем его.

В окошке параметра нам нужна строка 0038. Её первые два значения (у нас это 10 и 00) заменяем.

Двойным кликом ЛКМ щёлкаем по очереди на каждом из двух значений, и когда те выделятся синим, вписываем другие значения. А эти другие значения должны быть 10 и 02 соответственно. В итоге жмём «Ок».

Теперь в окне реестра кликаем на загруженный и отредактированный куст, у нас это 777. И выгружаем его: жмём «Файл», далее- «Выгрузить куст».

Перезагружаемся. И можем снова пытаться войти в свою учётку. Друзья, если блокировка вашей учётки – это следствие превышения допустимого числа авторизаций из-за того, что вы забыли пароль (или его, возможно, сменил кто-то без вашего ведома), вы можете просто убрать пароль. Сделать это можно, в частности, тем же способом путём правки реестра со съёмного носителя, что описан выше, только там нужны чуть другие действия. Какие – читаем здесь.

Сводка

Атаки методом подбора — один из трех основных способов атаки на компьютеры Windows на сегодняшний день. Однако устройства Windows в настоящее время не позволяют блокировать встроенные локальные учетные записи администратора. Это создает сценарии, в которых без надлежащей сегментации сети или наличия службы обнаружения вторжений встроенная локальная учетная запись администратора может быть подвержена неограниченной атаке методом подбора, чтобы попытаться определить пароль. Это можно сделать с помощью протокола удаленного рабочего стола (RDP) по сети. Если пароли не являются длинными или сложными, время, необходимое для выполнения такой атаки, становится тривиальным с использованием современных ЦП и GPU. 

Чтобы предотвратить дальнейшие атаки методом подбора, мы реализуем блокировки учетных записей администратора. Начиная с 11 октября 2022 г. или более поздних накопительных обновлений Windows, будет доступна локальная политика для включения встроенных локальных блокировок учетных записей администратора. Эту политику можно найти в разделе «Политика локального компьютера Конфигурация компьютераПараметры WindowsПараметры безопасностиПолитики учетной записиПолитики блокировки учетных записей».

Для существующих компьютеров установка для этого значения значения « Включено» с помощью локального объекта групповой политики или объекта групповой политики домена позволит заблокировать встроенную учетную запись локального администратора. В таких средах также следует рассмотреть возможность настройки трех других политик в разделе «Политики блокировки учетных записей». Мы рекомендуем установить для них значение 10/10/10. Это означает, что учетная запись будет заблокирована после 10 неудачных попыток в течение 10 минут, а блокировка будет длиться 10 минут. После этого учетная запись будет разблокирована автоматически.

Примечание Новое поведение блокировки влияет только на вход в сеть, например на попытки RDP. Вход в консоль по-прежнему будет разрешен в течение периода блокировки.

Для новых компьютеров Windows 11 версии 22H2 или всех новых компьютеров, которые включают накопительные обновления Windows от 11 октября 2022 г. до начальной установки, эти параметры будут заданы по умолчанию при настройке системы. Это происходит при первом создании экземпляра базы данных SAM на новом компьютере. Таким образом, если был настроен новый компьютер, а затем установлены обновления за октябрь, он не будет защищен по умолчанию. Для этого требуются параметры политики, как описано выше. Если вы не хотите, чтобы эти политики применялись к новому компьютеру, можно задать эту локальную политику или создать групповую политику для применения параметра Disabled (Разрешить блокировку учетной записи администратора).

Кроме того, теперь мы применяем сложность пароля на новом компьютере, если используется встроенная локальная учетная запись администратора. Пароль должен содержать по крайней мере два из трех основных типов символов (строчные, прописные и числовые). Это поможет защитить эти учетные записи от компрометации из-за атаки методом подбора. Однако если вы хотите использовать менее сложный пароль, вы по-прежнему можете задать соответствующие политики паролей в разделе «Политика локального компьютераКонфигурация компьютера Параметры WindowsПараметры безопасностиПолитики учетных записейПолитика паролей».

Дополнительные сведения

Добавленные изменения поддерживают флаг DOMAIN_LOCKOUT_ADMINS и DOMAIN_PASSWORD_COMPLEX для встроенной локальной учетной записи администратора. Дополнительные сведения см . DOMAIN_PASSWORD_INFORMATION (ntsecapi.h).

Значение	Смысл
DOMAIN_LOCKOUT_ADMINS 0x00000008L	Позволяет заблокировать встроенную учетную запись локального администратора от сетевых входов.
DOMAIN_PASSWORD_COMPLEX 0x00000001L	Пароль должен содержать по крайней мере два следующих типа символов: Прописные буквы Символы нижнего регистра Цифры

• Пороговое значение блокировки учетной записи

• Длительность блокировки учетной записи

• Сброс счетчика блокировки учетной записи после

Обновлено 05.01.2023

net stop netlogon && net start netlogonДобрый день! Уважаемые читатели и гости, крупного IT блога Pyatilistnik.org. В прошлый раз мы с вами рассматривали границы применения групп Active Directory, и надеюсь вы разобрались, где и какие следует использовать. Сегодня я хочу рассмотреть, очень частую и жизненную ситуацию, которая есть в любой доменной среде, а именно блокировка учетной записи Windows в Active Directory. Данную проблему вы легко встретите на предприятиях, где есть свои политики PSO и политики смены паролей. Так, что давайте прокачаем свои знания и научимся разбираться в данной ситуации.

Причина блокировки пользователя Active Directory

Давайте разбираться, какие существуют причины блокирования учетных записей пользователей в Active Directory. Как я и говорил выше, данная ситуация существует в компаниях, где есть политики паролей, которые подразумевают блокировку учетной записи при вводе определенного количества не правильных паролей, это правильно с точки зрения безопасности и выявления таких случаев, когда кто-то пытается скомпрометировать ваши ресурсы.

Вот так вот выглядит сообщение о блокировке:

Как видите в моем примере, пользователь по имени Барбоскин Геннадий Викторович не может начать работать, так как залочен.

Если в оснастке Active Directory — Пользователи и компьютеры, посмотреть свойства заблокированной учетной записи на вкладке «Учетная запись», то вы обнаружите статус:

Ставим галку и разблокируем учетную запись. После этого нужно выявлять причины.

Из основных причин блокировки я могу выделить:

• Идет подбор пароля, так называемый брутфорс, что в итоге приводит к блокировкам
• Бывают моменты, что человек пришел из отпуска и напрочь забыл свой пароль, ввел его несколько раз не правильно, чем вызвал блокирование
• После изменения пароля, у пользователя остались старые подключения WIFI на компьютере или телефоне со старыми учетными данными, которые пытаются автоматически подключиться к сервисам компании, это является основной причиной блокировки в Active Directory
• Как и в случае с WIFI, у пользователя после смены пароля, могут быть закэшированные, старые пароли в доступах к сетевым шарам, Outlook календарям и другим программам, которые однажды попросили ввести логин и пароль.
• Иногда бывают задания в планировщике Windows, которые запускались от имени пользователя, а не системы
• Забытые сессии на удаленном рабочем столе, был у меня случай когда у пользователя были права и он подключался по RDP к серверу. потом у него права забрали, а сессию разлогинить забыли, в итоге у него меняется пароль и его начинает каждый день по 5-10 раз блокировать, пака сессию не убили, проблема была актуальной.
• Сохраненные пароли в браузерах
• Службы работающие из под доменной учетной записи

Где настраивается политика блокировки учетных записей в домене

По рекомендациям компании Microsoft, политику блокировки учетной записи Windows настраивают на уровне домена, и чаще всего используют для этого уже имеющуюся политику «Default Domain Policy».  Открываем редактор групповой политики и щелкаем правым кликом мыши по политике «Default Domain Policy», из контекстного меню выберите пункт «Изменить».

Переходим с вами по пути: Конфигурация компьютера — Политики — Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политики блокировки учетных записей (Computer Configuration -> Windows Settings -> Security Settings -> Account Policy -> Account Lockout Policy)

Тут в политике будет три пункта:

• Время до сброса счетчика блокировки (Reset account lockout counter after) — в данном параметре задается, через какое количество времени система обнулит счетчик неудачных попыток авторизации. (Этот параметр безопасности определяет количество минут, которые должны пройти после неудачной попытки входа в систему до того, как счетчик неудачных попыток входа будет сброшен до 0. Допустимые значения: от 1 до 99999 минут. Если определено пороговое значение блокировки учетной записи, то время сброса должно быть меньше или равно длительности блокировки учетной записи. ). В моем примере я настроил политику «Время до сброса счетчика блокировки» на 10 минут, думаю больше не стоит.

• Пороговое значение блокировки (Account lockout threshold) — Тут вы задаете, сколько будет допустимых неправильных попыток ввода, после превышения которых учетная запись Windows будет заблокирована (Количество неудачных попыток входа в систему может составлять от 0 до 999. Если установить это значение равным 0, то учетная запись никогда не будет разблокирована.Неудачные попытки ввода паролей на рабочих станциях или серверах-членах домена, заблокированных с помощью клавиш CTRL+ALT+DELETE или с помощью защищенных паролем заставок, считаются неудачными попытками входа в систему).  Я в своей политике задал пороговое значение блокировки равным 5-ти, этого думаю хватит, чтобы правильно ввести свой пароль.

• Продолжительность блокировки учетной записи (Account lockout duration) — ну тут все просто, собственно время блокировки учетной записи Windows в Active Directory. Допустимые значения: от 0 до 99999 минут. Если продолжительность блокировки учетной записи равна 0, то учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее. Если определено пороговое значение блокировки учетной записи, то длительность блокировки учетной записи должна быть больше или равна времени сброса.

Как выяснить причину блокировки учетной записи

Выше я вас рассказал, из-за чего может все лочиться, теперь нужно выяснить с какого компьютера или устройств, это происходит. Ко мне на работе за неделю попадает 5-7 заявок с подобным вопросом, пользователь сменил пароль и у него началась веселая игра под названием угадайка, где я оставил свои старые данные, по которым меня банит контроллер домена. Чтобы однозначно ответить на этот вопрос вам как системному администратору необходимо настроить специальную политику аудита, призванную следить за соответствующими событиями по которым вы сможете дать однозначный ответ по причинам блокировок. По умолчанию данный вид аудита не настроен.

Про аудит Active Directory я подробно рассказывал, можете посмотреть по ссылке, тут я приведу легкую его выдержку, для полноты статьи. Нам нужно включить политику аудита входа, на уровне домена. (Так же вы можете подробно почитать про расширенный аудит, дающий более тонкие настройки https://technet.microsoft.com/ru-ru/library/mt431761%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396)

Включение политики аудита входа

Открываем редактор групповой политики и находим в нем дефолтную политику «Default Domain Policy», открываем ее и переходим по такому пути.

Тут будут такие политики:

1. Аудит входа в систему
2. Аудит доступа к объектам
3. Аудит доступа к службе каталогов
4. Аудит изменений политики
5. Аудит использования привилегий
6. Аудит отслеживания процессов
7. Аудит системных событий
8. Аудит событий входа в систему
9. Аудит управления учетными записями

Нас будет интересовать включение аудита входа в систему, именно данный вид будет генерировать события 4771 и 4624. Открываем ее и ставим галки «Успех и отказ»

Так же советую задать политику аудита событий входа в систему, так же установите «Успех и отказ»

Ну и настроим еще таким же способом «Аудит управления учетными записями«, чтобы мы видели события с кодом 4740.

Когда политика настроена, то вы можете ее принудительно обновить или дождаться автоматического обновления в течении 90-120 минут.

Какие события отслеживать в журнале безопасность

Чтобы отследить устройство вызывающее блокировки учетной записи, нужно понять алгоритм работы данного механизма. Когда кто-то пытается вводить учетные данные в Active Directory, то он идет на ближайший к нему контроллер домена (Кстати выяснить какой контроллер домена вас аутентифицировал можно очень просто, я об этом рассказывал, если интересно, то посмотрите). Данный контроллер домена видит, что пользователь предоставляет некорректные учетные данные и отсылает этот запрос аутентификации на контроллер, который обладает ролью PDC и FSMO. Так как данная роль PDC-эмулятор и отвечает в доменной среде за обработку блокировок учетных записей. Если PDC-эмулятор видит не корректные данные, то он возвращает ответ контроллеру домена, который ему это прислал, что аутентификация не возможна, и в следствии этого генерируется событие 4740, на обоих контроллерах

• 4771 — Это событие возникает каждый раз, когда не удается центром распространения ключей для выдачи Kerberos билетов предоставить билета (TGT). Это может произойти, когда контроллер домена не установлен сертификат для проверки подлинности смарт-карты (например, с помощью «Контроллера домена» или «Проверка подлинности контроллера домена» шаблона), истек срок действия пароля пользователя или неправильный пароль был предоставленные. 4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. (Подробнее про 4771 https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4771)

• 4776 — Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной. Если происходит сбой попытки проверки учетных данных, вы увидите, что событие отказов с значение параметра Код ошибки не равно «0x0» (Подробнее про событие 4476 https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4776)

• 4740 — Учетная запись указанного пользователя была заблокирована после нескольких попыток входа (Подробнее про событие 4740 https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4740)
• 4662 — Это событие создается только в том случае, если соответствующие SACL настроен для объекта Active Directory и выполнить операцию не удалось (Подробнее https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4662).
• 5136 — Объект службы каталогов был изменен (A directory service object was modified)

Как удобно отслеживать события блокировки

Я приведу примеры, как это делаю я и как это можно автоматизировать и оповещать вас заранее, чем это сделает представитель технической поддержки. Самый правильный вариант, это использование систем мониторинга, таких как SCOM или Zabbix, но если их нет, то можно упростить себе жизнь вот такими утилитами. Могу точно сказать, что у вас в компании, как минимум не один контроллер домена, в противном случае у вас проблемы. Бегать по каждому из контроллеров домена, это не лучший вариант, правильнее будет либо перенаправлять все события на централизованный коллектор или же воспользоваться двумя волшебными утилитами, которые вам упростят жизнь.

Я вам рассказывал про набор утилит от компании Microsoft под названием Active Directory ALTools. Там была утилита LockoutStatus.exe. В задачи которой и входило определение статуса пользовательской учетной записи, заблокирована она или нет, и если до, то на каком контроллере домена. Скачайте ее и запустите. Нажимаете пункт меню «File — Select Target», для того чтобы выбрать логин нужной учетной записи.

В поле «Target User Name» вы указываете логин пользователя, кто подвергся блокировке в Active Directory.

На выходе вы получите отчет по всем контроллерам в домене, о статусе вашей учетной записи. Как видите, мой Барбоскин Геннадий Викторович заблокирован и имеет статус «Locked», видно количество попыток неправильного ввода пароля (Bad Pwd Count) и на каких контроллерах домена, на них мы и будем искать нужные нам события, о которых я говорил выше.

Открываем просмотр событий на нужном контроллере домена. Переходим в журнал «Безопасность (Security)» именно в нем кроется причина блокировки учетной записи Барбоскина Геннадия. Так как событий огромное количество, то нам нужно отфильтровать наш журнал событий. Для этого есть кнопка «Filter Current Log (Фильтр текущего журнала)», она позволит нам выбрать только те события, которые нам нужны.

В поле «Logged (Дата)» указываем за какой срок нужны данные, я укажу 12 часов, и в поле все события, укажем номер ID 4740 и нажимаем «Ок»

Видим нашлось 50 событий, но может быть и больше и чтобы ускорить поиск нужного события, мы воспользуемся поисков, для этого нажмите кнопку «Find (Поиск)»

В поисковом поле указываем нужный вам логин учетной записи Windows и нажимаем поиск, если сообщений много, то он может слегка подвисать, не переживайте по этому поводу.

В итоге у меня нашлось событие с кодом 4740, из которого видна причина блокировки учетной записи. В данном случае это рабочая станция с именем SVTTSETMAIN01, это тестовая виртуальная машина, как видите тут статус «A user account was locked out», можно переходить на эту машину и смотреть в чем там дело.

В событиях 4740 вы можете встреть еще вот такие причины блокировки учетной записи Active Directory, так например у меня имя сервера, где происходит блокирование EXchange, означает, что проблема в Outlook или его календарем. Я вам рассказывал, где кэшируются его данные доступа, в заметка Outlook постоянно запрашивает пароль.

В моей компании используются сервисы Google, такие как G-Sute и общие файловые диски, и вот при смене пароля пользователем, в данных утилитах могут остаться старые данные, в результате чего вы будите видеть в логах в компьютере блокировки имя WORKSTATION. Думаю с событием 4740 все понятно, но оно не всегда показывает подробный источник блокировки, поэтому нужно смотреть событие 4771.

Вот пример блокировки из-за WiFI подключения, об это мне говорит имя компьютера CISCO точки доступа. Как видите причин может быть очень много.

Более подробную причину блокировки учетной записи Windows на покажет событие 4771. Сделаем так же фильтрацию и по нему. Основное сообщение тут «Kerberos pre-authentication failed», обратите внимание тут есть IP-адрес, что уже хорошо, это дополнительная информация, показывающая территориальный источник. В ошибка есть код отказа Kerberos, таблица была представлена выше.

Еще может быть полезным событие с кодом 4776, тут то же будет показано с какой рабочей станции была попытка ввода учетных данных.

Кстати получив IP-адрес вы можете посмотреть его mac адрес на DHCP сервере или же на сетевом оборудовании, например, Cisco, я показывал как там узнать mac-адрес.

Далее с помощью специальных сервисов можно определить, что за производитель у данного mac-адреса, сайтов в интернете полно, которые вам помогу, например, https://2ip.ua/ru/services/information-service/mac-find. Будет полезно с мобильными устройствами.

Еще полезным будет изучение события 4625, там вы можете обнаружить процесс из-за которого происходит блокировка учетных записей.

Если вы у себя в Active Directory используете определение имени системы куда был залогинен пользователь в последний раз, то для вас будет полезно событие IS 5136. Тут в конкретное поле у меня записывается имя компьютера, и вот пробежавшись по таким событиям, я обнаружил, что имя компьютера там бывает разное, что подсказывает, где еще от имени пользователя могут идти попытки с неправильным паролем и как следствие, блокировка учетной записи.

Как видите утилита от компании Mirosoft отлично работает, но можно посмотреть, что-то более удобное, мне нравится утилита Account Lockout Examiner от Netwrix, она бесплатная и позволяет создавать портал для технической поддержки, где они могут видеть кто заблокирован и разблокировать его, а так же причину и она умеет посылать оповещения по электронной почте.

Утилита Account Lockout Examiner проста в установке и потребует от вас две вещи:

1. Указание имени домена для поиска событий блокировки учетных записей Windows
2. Учетные данные от имени которых будет обращение к контроллерам домена

Через некоторое время вы получите табличку со всем пользователями у кого наблюдаются проблемы с блокировкой учеток. Тут вы увидите столбец «Workstation» в котом вы увидите адрес устройства блокировки, есть поле Bad Pwd Count показывающее количество попыток неправильно введенного пароля и дата последнего ввода. В самом конце вы увидите статусы пользователей Not locked или Locked.

Тут же вы можете через правый клик разблокировать пользователя.

В настройках Account Lockout Examine вы можете указать адрес электронной почты и сервер, для уведомлений, о событиях блокировки пользователей.

Если развернете IIS на данном сервер, где установлена утилита, то сможете создать портал для технической поддержки, где можно делегировать права на разблокировку пользователей.

Поиск компьютера блокирующего пользователя через PowerShell

PowerShell, очень мощное средство позволяющее сделать очень многое, вот пример поиска устройства из-за которого блокируется учетная запись. Открываем PowerShell ISE и вводим код:

Единственное не забудьте поменять в $Username = ‘username1’ на своего пользователя, можете скачать уже готовый скрипт у меня. На выходе вы получаете имя компьютера.

Аналогичным образом можно опросить из PowerShell все контроллеры домена в Active Directory:

Еще один вариант скрипта, тут я обращаюсь к конкретному серверу, куда идет форвардинг событий со всех контроллеров домена.

Надеюсь, что мой скромный опыт слегка вам поможет в поиске причин, по которым у вас в домене блокируются учетные записи Active Directory.

Включение ведения расширенного журнала отладки для службы Netlogon (Обновление 04.01.2023)

Январские праздники, идеальное время чтобы забыть пароль, после чего конечно же человека заблокирует. Вот реальный пример, есть коллега отвечающий за работу 1С, потребовалось выполнить какую-то работу в начале января, но сотрудник не смог его учетная запись была заблокирована. В логах видно, что 3от имени учетной записи пользователя в секунду прилетает по несколько неудачных попыток входа, о чем говорит код 0x000006A, а после чего идет статус «Заблокирована учетная запись пользователя«, при активации учетной записи, все мгновенно повторяется.

После этого журнал был забит:

К сожалению описанные выше ID событий толком не помогли и не показали, откуда идет блокировка, забегу вперед, это оказалась Linux виртуальная машина, поэтому она и не представилась службе Netlogon и не фигурировала в поле «Caller Computer Name«

Еще так же вы можете увидеть ID 4740, но со странным содержанием:

Тут главное запомнить на каком контроллере оно появилось, не всегда это PDC эмулятор, далее откройте вкладку «Details» и включите XML View. Там подробнее все будет структурировано, но к сожалению вы не увидите. откуда проблема.

Чтобы решить эту ситуацию с блокировкой учетной записи, нам нужно на контроллере домена, где это происходит включить ведения расширенного журнала отладки для службы Netlogon.

Это позволит записывать трассировки для Netlogon и получать кучу дополнительных сведений. Описанная ниже команда подойдет для Windows Server 2019/2022,  Windows Server 2016 и Windows Server 2012 R2. К командной строке в режиме администратора введите:

Далее перезапустим службу:

После того, как вы активировали ведение расширенного журнала Netlogon, у вас по пути %windir%debugnetlogon.log будет файл лог.

Для отключения расширенного режима (Когда посчитаете нужным) введите:

Я начал изучать логи на DC1. Быстро пробежаться по файлу можно командой:

kom — это искомый логин.

Или как я это делаю в LogViewPlus. В результате я обнаружил, что события блокировки идут от другого контроллера домена из корневого домена. Включаю на DC07 так же режим расширенного ведения логов Netlogon.

На DC07, я уже в журнале netlogon.log увидел кто обращается к контроллеру DC07. оказалось, что это файловая нода кластера DFS. Идем на нее и смотрим логи.

И вот уже анализируя логи на DFS ноде, я увидел в событии ID 4625, что учетной записи не удалось выполнить вход в систему с сетевого адреса источника, где указан был его IP-адрес. БИНГО. После того, как утилита nslookup показа кто, это стало все понятно. Это был Linux сервер, которому до лампочки на службу Netlogon, чтобы ей представляться, внутри этого сервера была смонтирована сетевая шара на эту DFS ноду с учетными данным пользователя.

В результате от монтировали файловую шару и учетную запись удалось разблокировать.

Блокировка учетной записи не в домене Active Directory

В случае с Active Directory все понятно, а как быть если учетная запись заблокировалась на вашем локальном, домашнем компьютере. Тут две ситуации, если у вас есть заблокировалась одна из нескольких учетных записей и у других записей есть права администратора, то вы можете все разблокировать, и вторая ситуация, если у вас одна учетная запись и она залочилась, тут будет повеселее, но так же все поправимо. Я опущу причины блокировки, вероятнее всего у вас стоит политика блокировки и вы ее можете поправить через локальную, для этого в окне выполнить напишите gpedit.msc и отключите пункты, о которых я писал в самом начале, либо же с вами кто-то подшутил таким образом выставив вам эту политику, но не суть.

Как разблокировать учетную запись в Windows 10 имея вторую учетку

Если у вас блокировка учетной записи windows 10 уже свершилась, и есть в наличии вторая учетная запись, например у папы своя у мамы своя, то сделайте следующее. Чтобы снять блокировку активируйте учетную запись, откройте окно выполнить, через сочетание клавиш WIN и R и введите название оснастки lusrmgr.msc

Открываем контейнер «Пользователи» и находим нужного нам, переходим в его свойства

Снимаем у нее галку «Заблокировать учётную запись» и нажимаем применить, все учетная запись теперь будет в рабочем состоянии.

Как разблокировать свою учётную запись Windows, если нет административного доступа

Чтобы обойти блокировку учетной записи, можно пойти двумя путями, легким и посложнее. Самый простой способ разблокировать учетную запись не имя административных прав, это воспользоваться загрузочным диском SonyaPE. Когда вы сделаете из него загрузочную флешку и загрузитесь с нее, то получите рабочий стол Windows 7. Там есть утилита Active@ Password Changer Professional 3.8, которая позволит вам включить и сбросить пароль от встроенной учетной записи Администратор, которая есть в любой операционной системе Windows, далее зайдя под ней вы разблокируете нужную нам учетную запись, как я описывал выше.

Как видите этот метод позволяет обойти блокировку учетной записи, но он не единственный, допустим у вас под рукой нет такого диска, как SonyaPE, что делать. Можно воспользоваться встроенными средствами восстановления Windows или же ими, но на любом установочном диске с Windows вашей редакции. В заметке «Как вернуть предыдущую версию виндоус 10» я показал метод попадания в дополнительные инструменты Windows 10.

Либо вы можете попасть в эти утилиты, через инструменты восстановления системы, о которых шла речь в заметке про восстановление загрузчика Windows 10.

В том и в другом случае, вам необходимо открыть командную строку.

Выбираем раздел HKEY_LOCAL_MACHINE, после чего в меню «Файл» выберите пункт «Загрузить куст».

У вас откроется проводник Windows. В моем компьютере, перейдите по пути WindowsSystem32Config. В этой папке лежит файл локальной базы данных пользователей, по имени SAM. Выбираем его и открываем.

Задаем имя новому кусту, для примера это будет 777.

Внутри раздела реестра HKEY_LOCAL_MACHINE теперь наблюдаем новую ветвь 777. Переходим в ней по пути: 777 – SAM – Domains – Account – Users – Names. Тут вам необходимо идентифицировать вашу учетную запись, которая находится в блокировке. В моем примере, это Василий. Выбрав Васю, посмотрите, что по умолчанию он имеет значение 0x3f8

Выбираем теперь куст 00003f8. В правой панели реестра ищем параметр «F» и двойным кликом раскрываем его.

В окошке параметра нам нужна строка 0038. Её первые два значения (у нас это 10 и 00) заменяем.

Двойным кликом щёлкаем по очереди на каждом из двух значений, и когда те выделятся синим, вписываем другие значения. А эти другие значения должны быть 10 и 02 соответственно.

Теперь в окне реестра кликаем на загруженный и отредактированный куст, у нас это 777. И выгружаем его: жмём «Файл», далее «Выгрузить куст». Все необходимые изменения внесены.

Перезагружаем ваш компьютер и пробуем войти под вашей учетной записью, она уже не должна быть заблокирована. На этом все, с вами был Семин Иван, автор и создатель IT блога Pyatilistnik.org.

Работодатель заблокировал доступ к учетной записи и хочет уволить

Содержание:

1. Зачем работодатель блокирует учетки
2. Почему происходит блокировка работодателем доступа в учетки
3. Работодатель заблокировал учетную запись и аккаунт что делать
4. За что могут уволить на удаленке
5. Подать в суд на работодателя и восстановиться при увольнении на удаленке
6. Куда подавать исковое заявление на восстановление на удаленной работе

Вслед за развитием цифровых технологий стремительно меняется и рынок труда.

Появление «цифровых» профессий, таких как программист или разработчик ПО, администратор, инженер тестировщик (тестер), разработчики мобильного ПО, в таких сферах, как, например, «биг дата», искусственный интеллект, веб-аналитика, Fullstack-разработка, разработка ПО и множество других профессий и сфер деятельности, в которых работа осуществляется с помощью специальных программных сред, а явка на рабочее место не является обязательной существенно изменило трудовой ландшафт.

Сегодня даже многие сотрудники традиционных отраслей бизнеса (журналисты, дизайнеры, аудиторы и юристы), отходят от «явочной» системы и обязательного присутствия на работе, перенося все процессы в онлайн и осуществляя рабочую коммуникацию через Zoom, Skype, по электронной почте и через мессенджеры.

Для целей оформления трудовых отношений с работниками, работающими удаленно, законодатель ввел даже специальный вид трудового договора – дистанционный, для работников, выполняющих трудовую функцию вне места нахождения работодателя.

При этом, с одновременным упрощением взаимодействия между работником и работодателем через Интернет, возникают и новые сложности. В частности, процедура наложения дисциплинарных взысканий меняет свою привычную форму и обретает множество рисков для работника.

Сегодня подробнее рассмотрим один из частных случаев – когда работодатель всячески вынуждает работника уволиться или пытается подстроить обстоятельства и уволить дистанционного сотрудника «по статье».

Зачем работодатель блокирует учетки

Первый случай – самый простой способ увольнения дистанционного сотрудника.

Один из классических способов, чтобы подставить сотрудника и уволить его по статье – это блокировка рабочих аккаунтов, доступов в учетки, смена логинов и паролей от рабочих сред.

Зачем это делается? В соответствии со ст. 312.8. Трудового кодекса РФ, трудовой договор с дистанционным сотрудником может быть расторгнут работодателем в одностороннем порядке в том случае, если работник «пропал со связи» и не обменивается с работодателем сообщениями или информацией более двух рабочих дней.

Вот почему блокировка учетных записей, паролей и доступов в рабочие программы так важно, ведь именно через них осуществляется общение между работником и работодателем.

Второй случай – увольнение на удаленке по «общей» процедуре.

При этом следует помнить, что по Трудовому законодательству привлечение сотрудника, работающего на удаленке, к дисциплинарной ответственности ничем не отличается от привлечения к ответственности обычного сотрудника. Т.е. работодатель должен выполнить аналогичный процесс привлечения к ответственности.

То есть, если не рассматривать увольнение по основаниям ст. 312.8. ТК РФ, то удаленщика (дистанционного сотрудника) можно уволить и по общей процедуре, т.е. за ненадлежащее исполнение или неисполнение его работы по его вине.

Для этого работодатель направляет различные документы (в том числе, требование о даче объяснений), которые работник должен получить и предоставить свои контраргументы. Как правило, обмен такими документами происходит также через цифровые каналы и те же учетные записи, через которые они ведут рабочую переписку с сотрудником.

Таким образом, работодатель закрывает доступ к учетным записям, чтобы работник не смог получить и прочитать сообщения с требованиями от работодателя.

Почему происходит блокировка работодателем доступа в учетки

Как правило, запрет доступа и блокировка аккаунтов происходит внезапно. Причиной блокировки, по нашему опыту, являются самые разные причины:

1. Конфликт с руководством компании или менеджером проекта, тимлидом, сеньором или иным руководителем подразделения или продукта;
2. Систематические ошибки в работе;
3. Утрата доверия – когда у работодателя есть подозрения, в том, что вы делитесь коммерческой информацией с третьими лицами (например, из недавних причин у наших клиентов: «слив» части кода конкурентам, скачивание (кража) базы клиентов из CRM Битрикс, работа работника сразу на нескольких аналогичных проектах);
4. Не соответствие ожиданий компании или команды в отношении конкретного сотрудника;
5. Не надлежащее отношение к коллективу или продукту;

Безусловно, это далеко не все возможные причины для того, чтобы работодатель хотел уволить дистанционного сотрудника. Блокировка и ограничение доступа в учетные записи для многих сотрудников становится сюрпризом и многие не сразу понимают, что происходят или до последнего не верят, что их заблокировали.

В этом случае дистанционщики начинают выяснять причины, дозваниваться до коллег и до работодателя. Как правило, работодатель в этом случае избегает общения. Проходит драгоценное время.

Работодатель заблокировал учетную запись и аккаунт что делать

1. Оперативно собирать доказательства.

Если это произошло с вами, категорически важно не пускать ситуацию на самотек и как можно скорее начать собирать доказательства ограничения доступа.

Любые программы и сферы: Outlook, 1C, CRM, ERP, MRP, программы типа Notion, Visual Studio, Vim, QT Creator, Eclipse, Atom, IntelliJ IDEA, Netbeans, всевозможные Гугл диски, системы электронного документооборота (ЭДО), электронные почты (внутренние и внешние), доступы к персональному компьютеру и серверы компании, доступ на корпоративные порталы, удаленные подключения, программы учета рабочего времени и прочие имеют систему идентификации пользователя.

Некоторые работодатели разрешают сотрудникам работать в своих учетках, но многие все же предпочитают предоставлять доступ в свою рабочую среду каждому новому сотруднику, выдавая ему логины и пароли от корпоративных почт, учеток и программ.

В идеале, такая передача должна осуществляться по Приказу руководителя под подпись сотрудника, но даже если вам просто направили нужные логины и пароли – этого тоже достаточно. Нужно чтобы оставался хоть какой-то цифровой след о предоставлении доступов.

• Это будет первым доказательством того, что работодатель может самостоятельно сменить ваши пароли или заблокировать учетные записи без вашего участия.
• Второе доказательство – фиксация факта невозможности зайти (залогиниться) в учетную запись под вашими учетными данными. Это обстоятельство нужно зафиксировать как можно скорее. Для фиксации подойдет видеозапись попытки входа с фиксацией времени, места, процесса набора логина и пароля.

Осторожно! Привлечение свидетелей может быть как плюсом, так и минусом, в нашей практике, один из работодателей пытался привлечь сотрудника к ответственности за разглашение коммерческой тайны при видеофиксации входа в аккаунт при свидетелях и показе внутренних данных корпоративного портала.

В идеале – следует обратиться за фиксацией к нотариусу, который зафиксирует все этапы попытки входа, а также результаты и ответы программ и порталов;

• Третье доказательство – обращение к работодателю с вопросом о причинах невозможности входа и просьбой сбросить или обновить пароль.

Также важный этап, который необходимо выполнить в тот же день, когда вы обнаружили невозможность доступа.

Пишите по всем доступным контактам работодателя, на почты, в мессенджеры и социальные сети, фиксируйте везде дату и время попытки входа. Безусловно, логины и пароли писать не нужно, но можете указать дату и время, когда вы получили от работодателя данные доступа, под которыми теперь не можете войти.

Лучшие юристы по трудовому праву BonteQ в СПб советуют сохранять логи и историю действий при работе, а также резервные копии сделанной работы, чтобы в случае необходимости предъявить их в суде.

2. Формировать требование работодателю.
В соответствии с Трудовым кодексом РФ, работодатель обязан предоставить вам работу по обусловленным трудовым договором трудовым функциям.
Поэтому в случае блокировки ваших учетных записей, работодатель фактически препятствует вам выполнять свою работу.
В этом случае, помимо сбора документов и доказательств, поименованных в предыдущем пункте, необходимо также направить работодателю требование об обновлении учетных данных для доступа в рабочие программы или для предоставления новых данных для входа.

За что могут уволить на удаленке

Трудовой кодекс предоставляет дистанционному работнику (на удаленке) и работодателю самим договариваться о порядке обмена информацией и документами, организовывать рабочие процессы, постановке задач и контроля их выполнения.
Любые рабочие процессы между вами должны быть согласованы в трудовом договоре, дополнительном соглашении, локальном нормативном акте или других внутренних документах работодателя.

В целом, можно сказать, что уволить на удаленке сотрудника могут за:
1. Невыполнение поставленных задач;
2. Нарушение установленных в трудовом договоре или локальных нормативных актах процессов и процедур;
3. Отсутствие учета рабочего времени или коммуникации с работодателем и другие причины;
4. Не выход на связь с работодателем в течение двух рабочих дней подряд.
Существуют и другие причины, однако правомерность увольнения или привлечения к дисциплинарной ответственности по таким причинам следует рассматривать индивидуально.

Подать в суд на работодателя и восстановиться при увольнении на удаленке (дистанционной работе)

Если работодатель все-таки уволил вас по основаниям ст. 312.8. ТК РФ или другим основаниям Трудового кодекса (в одностороннем порядке по инициативе работодателя) можно обратиться в суд за восстановлением.
При этом вам потребуются доказательства неправомерности увольнения, которые мы указывали ранее, а также иные документы, связанные с трудовой деятельностью в компании.
Для восстановления на работе удаленщикам потребуется сформировать исковое заявление в районный суд и приложить к нему все вышеперечисленные и иные доказательства.

Куда подавать исковое заявление на восстановление на удаленной работе

Исковое заявление необходимо направить в районный суд по вашему адресу регистрации (прописки по паспорту) или по месту нахождения компании. В некоторых случаях можно также подать иск по месту, указанному в трудовом договоре.
По закону подать исковое заявление на восстановление на работе можно в течение месяца со дня ознакомления с приказом об увольнении. При этом стоит помнить, что в случае пропуска срока подачи искового заявления, его можно восстановить по отдельному ходатайству.

Если у вас остались вопросы по восстановлению и по ведению трудовых споров с работодателем или ваша ситуация отличается от описанной выше, свяжитесь с нашими юристами по трудовому праву, мы возьмем на себя все вопросы по подготовке документов и поможем восстановиться на работе.

Позвоните нам по телефонам +7 (812) 467-38-97 или +7 (499) 938-55-95 и запишитесь к одному из юристов Бонтекью. Пишите нам на hello@bonteq.ru или в любом мессенджере на телефоне +7 (931) 9999-579