Windows 10 e blocco di account di dominio
I computer Windows 10 joinati a dominio possono causare blocchi regolari degli account utente nel caso in cui Windows 10 non sia aggiornato con il Cumulative Update del 13 ottobre 2015 (KB3097617) o successivi.
Ho verificato questo comportamento in una Active Directory basata su Domain Controller WS2008 R2 con livello funzionale di Dominio Windows Server 2008 R2 con client Windows 10 Enterprise a 64 Bit, ma leggendo vari interventi su post e forum relativi a questo issue non pare correlato alla versione del sistema operativo dei Domain Controller o alla versione del livello funzionale di Dominio (per esempio accade anche con Domain Controller WS2012R2 e livello funzionale di Dominio Windows Server 2012).
L’issue si manifesta in due modi:
- Quando i computer si blocca dopo in periodo di inattività se l’utente lo sblocca compare una richiesta di immissione delle credenziali che se ignorato comporta spesso il blocco dell’account.
- Occasionalmente la richiesta di immissione delle credenziali non viene visualizzata e l’account viene bloccato e sul Domain Controller che ha eseguito il blocco viene registrata come motivazione il fallimento della Kerberos Pre-Authentication.
Il problema è correlato alla pre-autenticazione Kerberos infatti disabilitando sull’utente tale impostazione il problema non si verifica.
Va però precisato che la disabilitazione della pre-autenticazione Kerberos sull’utente può essere solo un workaround temporaneo per identificare la causa del problema perché espone rischi di sicurezza come descritto nel post How to find user accounts with Kerberos preauthentication disabled:
“During Kerberos authentication the Authentication Service (AS) request identifies the client to the KDC in plain text. If preauthentication is enabled, a time stamp will be encrypted using the user’s password hash as an encryption key. If the KDC reads a valid time when using the user’s password hash (stored in the Active Directory) to decrypt the time stamp, the KDC knows that request isn’t a replay of a previous request.”
“The preauthentication feature may be disabled for specific users in order to support some applications that don’t support the security feature. Access the user account from the Active Directory users and the computers will snap-in and select the account tab.”
E nel seguente Kerberos Components in Windows 2000 – Preauthentication:
“By default the KDC requires all accounts to use preauthentication. This makes offline password-guessing attacks very difficult. However, preauthentication can be disabled for individual accounts when this is necessary for compatibility with other implementations of the protocol.”
La soluzione corretta è invece assicurarsi, come ho detto all’inizio del post, di avere il sistema Windows 10 aggiornato almeno alla Cumulative Update del 13 ottobre 2015 (KB3097617) in cui come si può verificare dal file information for update 3097617 uno dei file aggiornati è appunto C:\Windows\System32\kerberos.dll.
Per maggiori informazioni si veda 4771(F): Kerberos pre-authentication failed.
Buongiorno, ho un problema del tutto simile a quello descritto nell’articolo, ma con una versione Windows 10 1709 64 bit. Ovviamente non mi va di adottare il workaround dell’autenticazione preliminare Kerberos. Per caso siete a conoscenza di patch da installare? Grazie, saluti
Ciao Ugo,
prova a vedere se può trattarsi dell’issue descritto in questo post:
https://blogs.technet.microsoft.com/kimberj/2017/05/05/known-lock-screen-issues-1703/
PS: sono solo sicuro della macchina che causa il problema perchè l’ho tenuta spenta per diverso tempo e in quel lasso il problema non si verificava.
Mi sa che non ho inviato la prima risposta. Provo a riscrivere, sperando di non fare un post doppione. Mi sembra che non si tratti dello stesso problema perchè non ha a che fare con il blocco schermo che è stato disabilitato, proprio perchè ogni volta bisognava prima andare sul server a riabilitare l’account. Mi sembra più un processo automatico e potrebbe essere (condizionale d’obbligo perchè non ne capisco fino a quel punto) il kerberos oppure qualcos’altro. Peccato che non so come individuare il processo colpevole e quindi mi sento lontano anni luce da una possibile soluzione.
Ciao
se il problema è su una macchina specifica controlla che nel profilo dell’utente che si blocca non vi siano:
-Operazioni pianificate che vengono eseguite con le credenziali dell’utente, ma con una password errata o scaduta
– Password di rete salvate con le credenziali dell’utente, ma con una password errata o scaduta (per info sulle password di rete vedi il mio post https://www.devadmin.it/2009/06/22/gestione-delle-password-di-rete/)
Per ulteriori info e metodi di rilevamento delle cause di blocco di un account vedi il mio post https://www.devadmin.it/2015/08/25/esaminare-gli-account-bloccati/