Nastavenie prahovej hodnoty uzamknutia konta na odporúčanú hodnotu

Prečo vezmite do úvahy toto

Politika uzamknutia konta momentálne nenastavuje prahovú hodnotu uzamknutia konta na odporúčanú hodnotu. Prahová hodnota uzamknutia konta by mala byť nastavená na hodnotu 0, aby sa kontá nezamkli (a zabránili útokom zahltením služby DoS) alebo dostatočne vysokú hodnotu, aby používatelia mohli omylom zadať svoje heslo niekoľkokrát pred uzamknutím konta, čím sa však zabezpečí, že útok v prípade hrubej sily pri hesle konto zamkne.

Pozrite si informácie o probléme od zákazníckeho inžiniera

Osvedčené postupy & z kontextu

Útoky heslom môžu použiť automatizované metódy a skúsiť milióny kombinácií hesiel pre ľubovoľné používateľské konto. Účinnosť takýchto útokov sa takmer odstráni, ak obmedzíte počet neúspešných prihlásení, ktoré je možné vykonať. Útok zah pre server zah pre server zah pre serverovej služby (DoS) sa však môže vykonať na doméne, ktorá má nakonfigurovanú prahovú hodnotu uzamknutia konta. Útočník mohol naprogramovať pokus o sériu útokov heslom na všetkých používateľov v organizácii. Ak je počet pokusov väčší ako prahová hodnota uzamknutia konta, útočník môže uzamknúť každé konto.

Keďže chyby môžu existovať pri konfigurácii prahovej hodnoty uzamknutia konta, ako aj v prípade, že nie je nakonfigurovaná, definujú sa dve zreteľné protichote. Každá organizácia by mala zvážiť výber medzi týmito dvomi na základe ich identifikovaných hrozieb a rizík, ktoré chcú obmedziť. Dve možnosti protichodnosti sú:

  • Nakonfigurujte prahovú hodnotu uzamknutia konta na hodnotu 0. Táto konfigurácia zabezpečí, že kontá nebudú uzamknuté a zabránia útokom v doS, ktorý sa zámerne pokúša uzamknúť kontá. Táto konfigurácia tiež pomáha znížiť počet volaní na pomoc, pretože používatelia sa nemôžu omylom uzamknúť zo svojich kont. Pretože nezabraní útokom hrubej sily, táto konfigurácia by sa mala vybrať iba v prípade, že sú explicitne splnené obe nasledujúce kritériá:
    • Politika hesiel vyžaduje, aby mali všetci používatelia zložité heslá s viac ako 8 znakmi.
      • Robustný mechanizmus auditu je k dispozícii na upozornenie správcov v prípade, že sa v prostredí vyskytne rad neúspešných prihlásení. Riešenie auditovania by malo napríklad monitorovať, či sa v udalosti zabezpečenia 539 nevyhodá, čo je chyba prihlásenia. táto udalosť identifikuje, že v čase pokusu o prihlásenie došlo k uzamknutiu konta.
  • Nakonfigurujte nastavenie prahovej hodnoty uzamknutia konta na dostatočne vysokú hodnotu, aby ste používateľom mohli omylom poskytnúť nesprávne zadané heslo niekoľkokrát pred uzamknutím konta, ale presvedčte sa, že útok na heslo hrubej sily konto aj naďalej zamkne. Táto konfigurácia teda zabráni náhodnému uzamknutiu konta a zníži počet volaní na číslo pomoci, ale nezabráni útoku v dos.

Ak je toto nastavenie politiky zapnuté, uzamknuté konto nebude možné používať, kým ho nevymakne správca alebo kým neuplynie trvanie uzamknutia konta. Toto nastavenie pravdepodobne vygeneruje množstvo ďalších hovorov na telefónne číslo na telefónnej ďalšiu pomoc. Zamknuté kontá v mnohých organizáciách vlastne spôsobujú najväčší počet hovorov na telefónne číslo. Ak vynútite toto nastavenie, útočník môže spôsobiť stav zahltenia služby úmyselne pri vytváraní neúspešných prihlásení viacerým používateľom, preto by ste mali nastaviť trvanie uzamknutia konta na relatívne nízku hodnotu, napríklad na 15 minút.

Navrhované akcie

Pomocou editora Group Policy Management Editor (GPME) otvorte objekt skupinovej politiky (GPO), ktorý obsahuje politiku platného hesla pre doménu. tento objekt GPO môže byť predvolená politika domény alebo vlastný objekt GPO prepojený vyššie (t. j. s vyššou prioritou ako) predvolená politika domény.

V procesore GPME prejdite na položku Konfigurácia počítača\Windows Nastavenia\Security Nastavenia\Account Policies\Account Lockout Policy.

Nakonfigurujte prahovú hodnotu uzamknutia konta na hodnotu buď na hodnotu 0, aby kontá neboli nikdy uzamknuté, alebo n , kde n je dostatočne vysoká hodnota, ktorá používateľom poskytuje možnosť náhodne nesprávne zadať heslo niekoľkokrát pred uzamknutím konta, ale zabezpečí, aby útok hrubej sily hesla toto konto zamkol. Aktuálna odporúčaná hodnota n súpravy nástrojov Microsoft Security Compliance Toolkit (SCT) je 10.

Všimnite si, že ak sa používajú aj celozrnné politiky hesiel, predvolená politika domény nemusí ovplyvniť všetky kontá. V takýchto prípadoch by ste preto mali v týchto precíznych politikách hesiel skontrolovať nastavenie šifrovania.

Ďalšie informácie

Ďalšie informácie o nastaveniach uzamknutia konta nájdete v téme Konfigurácia uzamknutia konta v. https://blogs.technet.com/b/secguide/archive/2014/08/13/configuring-account-lockout.aspx