שתף באמצעות

הגדר את סף נעילת החשבון לערך המומלץ

מדוע כדאי לשקול זאת

מדיניות נעילת החשבון אינה מגדירה כעת את סף נעילת החשבון לערך המומלץ. יש להגדיר את סף נעילת החשבון ל- 0, כך שחשבונות לא יינעלו (ותקיפות מניעת שירות (DoS) נמנעות), או לערך גבוה מספיק כדי שהמשתמשים יוכלו להקליד בטעות את הסיסמה שלהם בצורה שגויה כמה פעמים לפני שהחשבון שלהם נעול, אך פעולה זו עדיין מבטיחה כי התקפה של סיסמה בכוח גס תנעל את החשבון.

צפה ב מהנדס לקוחות שמסביר את הבעיה

שיטות עבודה מומלצות להקשר

תקיפות אוטומטיות של סיסמאות יכולות לנסות מיליוני שילובים עבור כל חשבון משתמש. הגבלת מספר ניסיונות הכניסה שנכשלו עשויה להפחית באופן משמעותי את הסיכון להתקפה כזו מוצלחת. עם זאת, חשוב לציין שאם לתחום מוגדר סף נעילת חשבון, סידרה של נסיונות כניסה אוטומטיים בכל חשבונות המשתמשים עשויה להפעיל סף זה, מה שעלול לגרום לכל חשבון להיות נעול.

מאחר קיימות פגיעויות כאשר סף נעילת החשבון מוגדר וכן כאשר הוא אינו מוגדר, מוגדרים שני אמצעי מונים ייחודיים. כל ארגון צריך לשקול את הבחירה בין השניים בהתבסס על האיומים המזוהים שלהם והסיכונים שהם רוצים לצמצם. שתי אפשרויות אמצעי הנגד הן:

  • קבע את התצורה של הגדרת סף נעילת החשבון ל- 0. תצורה זו מבטיחה שהחשבונות לא יינעלו ויימנעו מתקפת DoS שינסה בכוונה לנעול חשבונות. תצורה זו גם עוזרת להפחית את השיחות של מחלקת התמיכה מאחר שמשתמשים אינם יכולים לנעול את עצמם בטעות מחוץ לחשבון שלהם. מאחר שהיא לא תמנע מתקפות בכוח, יש לבחור תצורה זו רק אם שני הקריטריונים הבאים יתמלאו במפורש:
    • מדיניות הסיסמה דורשת שכל המשתמשים כוללים סיסמאות מורכבות של 8 תווים או יותר.
  • מנגנון ביקורת חזק נמצא במקום כדי להתריע על מנהלי מערכת כאשר מתרחשת סידרה של כניסות שנכשלו בסביבה. לדוגמה, פתרון הביקורת צריך לנטר את אירוע האבטחה 539, שהוא כשל בכניסה; אירוע זה מזהה שהיה נעילה בחשבון בזמן ניסיון הכניסה.
  • הגדר את סף נעילת החשבון לרמה המאפשרת למשתמשים להקליד את הסיסמה שלהם בצורה לא חוקית כמה פעמים לפני שהחשבון נעול, ובכך להבטיח שהוא מונע תקיפות סיסמה לא חזקות. תצורה זו תמנע נעילת חשבונות בשוונה ותפחית את השיחות של מחלקת התמיכה, אך לא תמנע התקפה של DoS.

אם הגדרת מדיניות זו מופעלת, חשבון נעול נשאר בלתי נגיש עד שמנהל מערכת מאפס אותו או עד מסתיים משך הנעילה. תצורה זו עשויה להוביל להגדלת השיחות של מחלקת התמיכה, כיוון שחשבונות נעולים הם מקור נפוץ של שאילתות בארגונים רבים. בנוסף, שחקן רע עלול להפעיל במכוון כניסות מרובות שנכשלו כדי לנעול משתמשים ולהפריע לשירות. כדי לקצר את ההשפעה הפוטנציאלית, מומלץ להגדיר את משך נעילת החשבון למרווח זמן קצר יותר, כגון 15 דקות.

פעולות מוצעות

השתמש בעורך ניהול מדיניות קבוצתית (GPME) כדי לפתוח את אובייקט המדיניות הקבוצתית (GPO) המכיל את מדיניות הסיסמה האפקטיבית עבור התחום; GPO זה עשוי להיות מדיניות התחום המהווה ברירת מחדל, או GPO מותאם אישית המקושר (לדוגמה, עם קדימות גבוהה יותר מ-) מדיניות התחום המהווה ברירת מחדל.

ב- GPME, עבור אל תצורת מחשב\הגדרות Windows\הגדרות אבטחה\מדיניות חשבון\מדיניות נעילת חשבון.

קבע את התצורה של הגדרת סף נעילת החשבון ל- 0, כך שחשבונות לעולם לא יינעלו, או n, כאשר n הוא ערך גבוה מספיק כדי לספק למשתמשים את היכולת להקליד בטעות את הסיסמה שלהם בצורה שגויה כמה פעמים לפני שהחשבון נעול, אך ודא כי התקפה של סיסמה חזקה עדיין תנעל את החשבון. הערך המומלץ הנוכחי של Microsoft Security Compliance Toolkit (SCT) עבור n הוא 10.

שים לב שאם נעשה שימוש במדיניות סיסמה כוללת, מדיניות התחום המהווה ברירת מחדל עשויה שלא להשפיע על כל החשבונות; במקרים כאלה, עליך גם לבדוק את הגדרת ההצפנה ההפיכה במדיניות סיסמה דקת זו.

למידע נוסף

לקבלת מידע נוסף אודות הגדרות נעילת חשבון, ראה קביעת תצורה של נעילת חשבון.