Nastavenie prahovej hodnoty uzamknutia konta na odporúčanú hodnotu
Prečo vezmite do úvahy toto
Politika uzamknutia konta momentálne nenastavuje prahovú hodnotu uzamknutia konta na odporúčanú hodnotu. Prahová hodnota uzamknutia konta by mala byť nastavená na hodnotu 0, aby sa kontá nezamkli (a zabránili útokom zahltením služby DoS) alebo dostatočne vysokú hodnotu, aby používatelia mohli omylom zadať svoje heslo niekoľkokrát pred uzamknutím konta, čím sa však zabezpečí, že útok v prípade hrubej sily pri hesle konto zamkne.
Pozrite si informácie o probléme od zákazníckeho inžiniera
Osvedčené postupy & z kontextu
Útoky heslom môžu použiť automatizované metódy a skúsiť milióny kombinácií hesiel pre ľubovoľné používateľské konto. Účinnosť takýchto útokov sa takmer odstráni, ak obmedzíte počet neúspešných prihlásení, ktoré je možné vykonať. Útok zah pre server zah pre server zah pre server serverovej služby (DoS) sa však môže vykonať na doméne, ktorá má nakonfigurovanú prahovú hodnotu uzamknutia konta. Útočník mohol naprogramovať pokus o sériu útokov heslom na všetkých používateľov v organizácii. Ak je počet pokusov väčší ako prahová hodnota uzamknutia konta, útočník môže uzamknúť každé konto.
Keďže chyby môžu existovať pri konfigurácii prahovej hodnoty uzamknutia konta, ako aj v prípade, že nie je nakonfigurovaná, definujú sa dve zreteľné protichote. Každá organizácia by mala zvážiť výber medzi týmito dvomi na základe ich identifikovaných hrozieb a rizík, ktoré chcú obmedziť. Dve možnosti protichodnosti sú:
- Nakonfigurujte prahovú hodnotu uzamknutia konta na hodnotu 0. Táto konfigurácia zabezpečí, že kontá nebudú uzamknuté a zabránia útokom v doS, ktorý sa zámerne pokúša uzamknúť kontá. Táto konfigurácia tiež pomáha znížiť počet volaní na pomoc, pretože používatelia sa nemôžu omylom uzamknúť zo svojich kont. Pretože nezabraní útokom hrubej sily, táto konfigurácia by sa mala vybrať iba v prípade, že sú explicitne splnené obe nasledujúce kritériá:
-
- Politika hesiel vyžaduje, aby mali všetci používatelia zložité heslá s viac ako 8 znakmi.
- Robustný mechanizmus auditu je k dispozícii na upozornenie správcov v prípade, že sa v prostredí vyskytne rad neúspešných prihlásení. Riešenie auditovania by malo napríklad monitorovať, či sa v udalosti zabezpečenia 539 nevyhodá, čo je chyba prihlásenia. táto udalosť identifikuje, že v čase pokusu o prihlásenie došlo k uzamknutiu konta.
- Politika hesiel vyžaduje, aby mali všetci používatelia zložité heslá s viac ako 8 znakmi.
- Nakonfigurujte nastavenie prahovej hodnoty uzamknutia konta na dostatočne vysokú hodnotu, aby ste používateľom mohli omylom poskytnúť nesprávne zadané heslo niekoľkokrát pred uzamknutím konta, ale presvedčte sa, že útok na heslo hrubej sily konto aj naďalej zamkne. Táto konfigurácia preto zabráni náhodnému uzamknutiu konta a zníži počet hovorov na číslo pomoci, ale nezabráni útoku v dos.
Ak je toto nastavenie politiky zapnuté, zamknuté konto nebude možné používať, kým ho nevymakne správca alebo kým neuplynie trvanie uzamknutia konta. Toto nastavenie pravdepodobne vygeneruje množstvo ďalších hovorov na telefónne číslo na telefónnej ďalšiu pomoc. Zamknuté kontá v mnohých organizáciách vlastne spôsobujú najväčší počet hovorov na telefónne číslo. Ak vynútite toto nastavenie, útočník môže spôsobiť stav zahltenia služby úmyselne pri vytváraní neúspešných prihlásení viacerým používateľom, preto by ste mali nastaviť trvanie uzamknutia konta na relatívne nízku hodnotu, napríklad na 15 minút.
Navrhované akcie
Pomocou editora Group Policy Management Editor (GPME) otvorte objekt skupinovej politiky (GPO), ktorý obsahuje politiku platného hesla pre doménu. tento objekt GPO môže byť predvolená politika domény alebo vlastný objekt GPO prepojený vyššie (t. j. s vyššou prioritou ako) predvolená politika domény.
V procesore GPME prejdite na položku Konfigurácia počítača\Windows Nastavenia\Security Nastavenia\Account Policies\Account Lockout Policy.
Nakonfigurujte prahovú hodnotu uzamknutia konta na hodnotu buď na hodnotu 0, aby kontá neboli nikdy vymknuté, alebo n , kde n je dostatočne vysoká hodnota, aby ste používateľom zabezpečili možnosť náhodného nesprávneho zadať heslo niekoľkokrát pred uzamknutím konta, ale uistite sa, že útok hrubej sily pri hesle konto zamkne. Aktuálna odporúčaná hodnota n súpravy nástrojov Microsoft Security Compliance Toolkit (SCT) je 10.
Všimnite si, že ak sa používajú aj celozrnné politiky hesiel, predvolená politika domény nemusí ovplyvniť všetky kontá. V takýchto prípadoch by ste preto mali v týchto precíznych politikách hesiel skontrolovať nastavenie šifrovania.
Ďalšie informácie
Ďalšie informácie o nastaveniach uzamknutia konta nájdete v téme Konfigurácia uzamknutia konta v. https://blogs.technet.com/b/secguide/archive/2014/08/13/configuring-account-lockout.aspx