مشاركة عبر

تعيين حد تأمين الحساب إلى القيمة الموصى بها

لماذا ضع في اعتبارك هذا

لا يقوم نهج تأمين الحساب حاليا بتعيين حد تأمين الحساب إلى القيمة الموصى بها. يجب تعيين حد تأمين الحساب إما إلى 0، بحيث لا يتم تأمين الحسابات (ومنع هجمات رفض الخدمة (DoS) )، أو إلى قيمة عالية بما يكفي بحيث يمكن للمستخدمين خطأ في كتابة كلمة المرور الخاصة بهم عدة مرات قبل تأمين حسابهم، ولكن لا يزال يضمن أن هجوم كلمة مرور القوة الغاشمة سيقفل الحساب.

شاهد مهندس عملاء يشرح المشكلة

السياق وأفضل الممارسات

يمكن أن تجرب هجمات كلمات المرور التلقائية ملايين المجموعات لكل حساب مستخدم. يمكن أن يقلل الحد من عدد محاولات تسجيل الدخول الفاشلة بشكل كبير من مخاطر نجاح مثل هذه الهجمات. ومع ذلك، من المهم ملاحظة أنه إذا كان المجال يحتوي على مجموعة حد تأمين حساب، فمن المحتمل أن تؤدي سلسلة من محاولات تسجيل الدخول التلقائية عبر جميع حسابات المستخدمين إلى تشغيل هذا الحد، ما يؤدي إلى تأمين كل حساب.

نظرا لأن الثغرات الأمنية يمكن أن توجد عند تكوين حد تأمين الحساب وكذلك عند عدم تكوينه، يتم تعريف اثنين من التدابير المضادة المميزة. وينبغي لأي منظمة أن تزن الاختيار بين الاثنين استنادا إلى تهديداتهما المحددة والمخاطر التي تريد التخفيف منها. خيارا التدابير المضادة هما:

  • تكوين إعداد حد تأمين الحساب إلى 0. يضمن هذا التكوين عدم تأمين الحسابات وسيمنع هجوم DoS الذي يحاول عمدا تأمين الحسابات. يساعد هذا التكوين أيضا على تقليل مكالمات مكتب المساعدة لأنه لا يمكن للمستخدمين تأمين أنفسهم عن طريق الخطأ من حساباتهم. لأنه لن يمنع هجوم القوة الغاشمة، يجب اختيار هذا التكوين فقط إذا تم استيفاء كلا المعيارين التاليين بشكل صريح:
    • يتطلب نهج كلمة المرور أن يكون لدى جميع المستخدمين كلمات مرور معقدة من 8 أحرف أو أكثر.
  • توجد آلية تدقيق قوية لتنبيه المسؤولين عند حدوث سلسلة من عمليات تسجيل الدخول الفاشلة في البيئة. على سبيل المثال، يجب أن يراقب حل التدقيق الحدث الأمني 539، وهو فشل تسجيل الدخول؛ يحدد هذا الحدث أنه كان هناك تأمين على الحساب في وقت محاولة تسجيل الدخول.
  • قم بتعيين حد تأمين الحساب إلى مستوى يسمح للمستخدمين بتصنيف كلمة المرور الخاصة بهم عدة مرات قبل تأمين الحساب مع التأكد أيضا من أنه يمنع هجمات القوة الغاشمة لكلمات المرور. سيمنع هذا التكوين تأمين الحساب العرضي ويقلل من مكالمات مكتب المساعدة ولكنه لن يمنع هجوم DoS.

إذا كان إعداد النهج هذا قيد التشغيل، يظل حساب التأمين غير قابل للوصول حتى يقوم المسؤول بإعادة تعيينه أو حتى تنتهي مدة التأمين. قد يؤدي هذا التكوين إلى زيادة في مكالمات مكتب المساعدة، حيث تعد الحسابات المؤمنة مصدرا شائعا للاستعلامات في العديد من المؤسسات. بالإضافة إلى ذلك، يمكن لمستخدم سيئ تشغيل العديد من عمليات تسجيل الدخول الفاشلة عمدا لتأمين المستخدمين وتعطيل الخدمة. لتقليل التأثير المحتمل، من المستحسن تعيين مدة تأمين الحساب إلى فاصل زمني أقصر، مثل 15 دقيقة.

الإجراءات المقترحة

استخدم محرر إدارة نهج المجموعة (GPME) لفتح كائن نهج المجموعة (GPO) الذي يحتوي على نهج كلمة المرور الفعال للمجال؛ قد يكون عنصر نهج المجموعة هذا هو نهج المجال الافتراضي، أو عنصر نهج مجموعة مخصص مرتبط (أي، له أسبقية أعلى من) نهج المجال الافتراضي.

في GPME، انتقل إلى Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy.

قم بتكوين إعداد حد تأمين الحساب إما إلى 0، بحيث لا يتم تأمين الحسابات أبدا، أو n، حيث n هي قيمة عالية بما يكفي لتزويد المستخدمين بالقدرة على كتابة كلمة المرور الخاصة بهم عدة مرات عن طريق الخطأ قبل تأمين الحساب ولكن تأكد من أن هجوم كلمة مرور القوة الغاشمة سيظل قفل الحساب. القيمة الأساسية الحالية لمجموعة أدوات التوافق مع الأمان من Microsoft (SCT) الموصى بها ل n هي 10.

لاحظ أنه إذا تم استخدام نهج كلمات المرور الدقيقة، فقد لا يؤثر نهج المجال الافتراضي على جميع الحسابات؛ في مثل هذه الحالات، يجب عليك أيضا التحقق من إعداد التشفير القابل للعكس في نهج كلمة المرور الدقيقة هذه.

معرفة المزيد

لمزيد من المعلومات حول إعدادات تأمين الحساب، راجع تكوين تأمين الحساب.