帐户锁定阈值 |
您所在的位置:网站首页 › LDAP服务器锁定 › 帐户锁定阈值 |
|
帐户锁定阈值
项目
03/18/2023
适用范围 Windows 11 Windows 10介绍 帐户锁定阈值 安全策略设置的最佳做法、位置、值和安全注意事项。 参考帐户锁定阈值策略设置确定将导致用户帐户被锁定的失败登录尝试次数。 在重置锁定帐户或帐户锁定持续时间策略设置指定的分钟数过期之前,无法使用锁定 的帐户 。 可以将失败的登录尝试设置为 1 到 999 的值,也可以通过将值设置为 0 来指定永远不会锁定帐户。 如果 帐户锁定阈值 设置为大于零的数字, 则帐户锁定持续时间 必须大于或等于 重置帐户锁定计数器后的值。 暴力破解密码攻击可以自动为任何或所有用户帐户尝试数千甚至数百万个密码组合。 限制可以执行的失败登录数几乎消除了此类攻击的有效性。 但是,请务必注意,可以在配置了帐户锁定阈值的域中执行拒绝服务 (DoS) 攻击。 恶意用户可以以编程方式尝试对组织中的所有用户进行一系列密码攻击。 如果尝试次数大于 帐户锁定阈值的值,攻击者可能会锁定每个帐户。 尝试解锁工作站失败可能会导致帐户锁定,即使 “交互式登录:要求域控制器身份验证才能解锁工作站 安全”选项处于禁用状态。 如果你输入登录时所用的相同密码,Windows 不需要联系域控制器进行解锁,但如果输入其他密码,Windows 必须联系域控制器,以防你从另一台计算机更改了密码。 可能值可以针对 帐户锁定阈值 策略设置配置以下值: 从 0 到 999 的用户定义数字 未定义由于在配置此值时和未配置此值时可能存在漏洞,因此组织应权衡其已识别的威胁以及他们试图缓解的风险。 有关这些设置的信息,请参阅本文中的 对策 。 最佳做法选择的阈值是运营效率和安全性之间的平衡,具体取决于组织的风险级别。 为了允许用户错误并阻止暴力攻击, Windows 安全基线 建议将值 10 作为组织可接受的起点。 与其他帐户锁定设置一样,此值更像一个准则,而不是一个规则或最佳做法,因为没有“一个大小适合所有人”。有关详细信息,请参阅 配置帐户锁定。 此策略设置的实现取决于操作环境;威胁向量、部署的操作系统和已部署的应用。 有关详细信息,请参阅本文中的 实现注意事项 。 位置计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略 默认值下表列出了实际和有效的默认策略值。 默认值也会在策略设置的属性页上列出。 服务器类型或组策略对象 (GPO) 默认值 默认域策略 0 次无效登录尝试 默认域控制器策略 未定义 独立服务器默认设置 0 次无效登录尝试 域控制器有效默认设置 0 次无效登录尝试 成员服务器有效默认设置 0 次无效登录尝试 客户端计算机上有效的 GPO 默认设置 0 次无效登录尝试 策略管理本部分介绍可用于帮助你管理此策略设置的功能和工具。 重启要求无。 此策略设置的更改在本地保存或通过组策略分发时,无需重启计算机即可生效。 实现注意事项此策略设置的实现取决于操作环境。 考虑威胁向量、部署的操作系统和部署的应用。 例如: 帐户被盗或 DoS 攻击的可能性取决于系统和环境的安全设计。 考虑到这些威胁的已知和感知风险,设置帐户锁定阈值。 在客户端、服务器和域控制器之间协商加密类型时,Kerberos 协议可以自动重试计入此策略设置中设置的阈值限制的帐户登录尝试。 在部署不同版本的操作系统的环境中,加密类型协商会增加。 并非环境中使用的所有应用都可以有效地管理用户尝试登录的次数。 例如,如果用户在运行应用时连接反复断开,则所有后续失败的登录尝试都会计入帐户锁定阈值。 有关帐户锁定的 Windows 安全基线建议的详细信息,请参阅 配置帐户锁定。 安全注意事项本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。 注意 锁定阈值策略将同时应用于本地成员计算机用户和域用户,以便缓解“漏洞”中所述的问题。 但是,内置管理员帐户虽然是高特权帐户,但具有不同的风险配置文件,并被排除在此策略之外。 这可确保不存在管理员无法登录来修正问题的情况。 作为管理员,还有其他可用的缓解策略,例如强密码。 另请参阅 附录 D:保护 Active Directory 中的Built-In管理员帐户。 漏洞暴力破解密码攻击可以使用自动方法尝试任何用户帐户的数百万个密码组合。 如果限制可以执行的失败登录尝试次数,则几乎可以消除此类攻击的有效性。 但是,可以在配置了帐户锁定阈值的域上执行 DoS 攻击。 攻击者可能以编程方式尝试对组织中的所有用户进行一系列密码攻击。 如果尝试次数大于帐户锁定阈值,攻击者可能能够锁定每个帐户,而无需任何特殊权限或在网络中进行身份验证。 注意 此策略设置无法应对脱机密码攻击。 对策由于在配置此值和未配置此值时可能存在漏洞,因此定义了两个不同的对策。 组织应根据确定的威胁和想要缓解的风险来权衡这两者之间的选择。 两个对策选项是: 将 “帐户锁定阈值 ”设置为 0。 此配置可确保帐户不会被锁定,并防止有意尝试锁定帐户的 DoS 攻击。 此配置还有助于减少技术支持呼叫,因为用户不会意外地将自己锁定在其帐户外。 因为它不会防止暴力攻击,因此仅当显式满足以下两个条件时,才应选择此配置: 密码策略设置要求所有用户具有 8 个或更多字符的复杂密码。 在环境中发生一系列登录失败时,将建立可靠的审核机制来提醒管理员。将 帐户锁定阈值 策略设置配置为足够高的值,使用户能够在帐户锁定前多次意外错误键入其密码,但请确保暴力密码攻击仍会锁定帐户。 Windows 安全基线 建议配置 10 次无效登录尝试的阈值,这可以防止意外的帐户锁定并减少技术支持呼叫次数,但不会阻止 DoS 攻击。 使用此类型的策略必须附带解锁锁定帐户的过程。 每当需要帮助缓解系统受到攻击导致的大规模锁定时,必须能够实施此策略。 潜在影响如果启用此策略设置,则锁定的帐户在管理员重置或帐户锁定持续时间到期之前不可用。 启用此设置可能会生成更多技术支持呼叫。 如果将 “帐户锁定阈值 ”策略设置为 0,则如果未建立可靠的审核机制,恶意用户尝试使用暴力破解密码攻击发现密码,则可能无法检测到。 如果将此策略设置配置为大于 0 的数字,攻击者可以轻松锁定帐户名称已知的任何帐户。 考虑到除了访问网络之外,不需要其他凭据来锁定帐户,这种情况尤其危险。 相关主题帐户锁定策略 |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |