Una cuenta en red deshabilitada en sistemas Windows no tiene efectos de manera inmediata, de acuerdo con la compañía Aorato. En efecto, debido a las consideraciones de las cuentas deshabilitadas, borradas, bloqueadas o que han expirado, éstas permanecen válidas hasta 10 horas después de que supuestamente fueron revocadas.

Como consecuencia de ello, las supuestas cuentas deshabilitadas exponen a las empresas hacia los atacantes que quieran obtener acceso a la red corporativa.

Los empleados que dejan de laborar pueden tener acceso a los datos corporativos aún cuando su cuenta está deshabilitada.

El problema radica en el protocolo de autenticación Kerberos, el cual está basado en un sistema de tickets que elimina la necesidad de que los empleados suministren su usuario y contraseña cada vez que acceden a un sistema. Sin embargo, el hecho de que la autenticación y autorización tengan base únicamente en tickets y no en credenciales, significa que deshabilitar la cuenta de usuario no tiene ningún efecto sobre la capacidad de los empleados para acceder a los datos y servicios.

Para mitigar este problema, la organización debe controlar el tráfico de red a los servidores de autenticación de Windows con el fin de:

• Asociar el ticket con la cuenta de usuario con el fin de identificar posibles problemas desde la raíz.
• Monitorizar las actividades y los cambios en el estado de las cuentas de usuario y en particular, administrar correctamente su revocación.
• Finalizar las conexiones de usuarios que no tienen permiso para solicitar un recurso utilizando un ticket válido.