Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Perché prenderlo in considerazione
Il criterio di blocco dell'account attualmente non imposta la soglia di blocco dell'account al valore consigliato. La soglia di blocco dell'account dovrebbe essere impostata a 0, in modo che gli account non vengano bloccati e vengano impediti gli attacchi informatici Denial of Service (DoS), oppure a un valore abbastanza alto da permettere agli utenti di digitare erroneamente la password più volte prima che l'account venga bloccato, continuando però a garantire che l'account venga bloccato in caso di attacco di forza bruta alla password.
Guarda un Tecnico dei Clienti che spiega il problema
Contesto e Procedure Consigliate
Gli attacchi alle password possono utilizzare metodi automatizzati che provano milioni di combinazioni di password per ogni account utente. L'efficacia di tali attacchi può essere ampiamente ridotta se si limita il numero di accessi non riusciti che è possibile eseguire. È comunque possibile eseguire un attacco Denial of Service (DoS) su un dominio per cui sia stata configurata una soglia di blocco dell'account. Un utente informatico malintenzionato potrebbe tentare una serie di attacchi automatizzati alle password per tutti gli utenti dell'organizzazione. Se il numero di tentativi supera la soglia di blocco dell'account, l'utente informatico malintenzionato potrebbe riuscire a bloccare tutti gli account.
Visto che possono esistere delle vulnerabilità sia quando è configurato un valore per la soglia di blocco degli account che quando non è configurato, vengono definite due contromisure distinte. Qualsiasi organizzazione deve pesare la scelta tra i due in base alle minacce individuate e ai rischi che si desidera attenuare. Le due opzioni di contromisura sono:
- Configurare la Soglia di blocco account impostandola a 0. Questa configurazione garantisce che gli account non vengano bloccati e impedisce che un attacco DoS blocchi intenzionalmente gli account. Questa configurazione consente inoltre di ridurre le chiamate all'help desk, visto che gli utenti non possono bloccare accidentalmente l'accesso ai propri account. Poiché non impedirà un attacco di forza bruta, questa configurazione deve essere scelta solo se i seguenti criteri sono soddisfatti esplicitamente:
- I criteri sulle password richiedono che tutti gli utenti dispongano di password complesse di 8 o più caratteri.
- È presente un robusto meccanismo di controllo che notifica gli amministratori quando si verificano una serie di accessi non riusciti nell'ambiente. Ad esempio, la soluzione per il controllo dovrebbe monitorare l'evento di protezione 539, che è un errore di accesso; questo evento segnala che l'account è stato bloccato al momento del tentativo di accesso.
- Configura l'impostazione Soglia di blocco account su un valore abbastanza alto da permettere agli utenti di digitare erroneamente la password più volte prima che l'account venga bloccato, continuando però a garantire che l'account venga bloccato in caso di attacco di forza bruta alla password. Questa configurazione impedirà quindi i blocchi accidentali degli account e ridurrà le chiamate all'help desk, ma non impedirà un attacco DoS.
Se questa impostazione dei criteri è attivata, un account bloccato non sarà utilizzabile fino a quando non verrà reimpostato da un amministratore o fino alla scadenza del blocco dell'account. Questa impostazione probabilmente genererà un certo numero di chiamate aggiuntive all'help desk. Infatti, gli account bloccati sono la ragione principale delle chiamate all'help desk in molte organizzazioni. Se si applica questa impostazione, un utente informatico malintenzionato potrebbe causare una condizione di Denial of Service, generando deliberatamente accessi non riusciti per più utenti, pertanto è necessario configurare anche la durata del blocco dell'account su un valore relativamente basso, ad esempio 15 minuti.
Azioni consigliate
Utilizzare l'Editor Gestione Criteri di Gruppo (GPME) per aprire l'Oggetto Criteri di Gruppo (GPO) contenente i criteri di password validi per il dominio; questo GPO può essere il Criterio Dominio Predefinito o un GPO personalizzato collegato in precedenza, ovvero con una priorità più elevata, rispetto al Criterio Dominio Predefinito.
Nel GPME, passare a Configurazione computer\Impostazioni di Windows\Impostazioni di protezione\Criteri Account\Criteri di Blocco Account.
Configura l'impostazione Soglia di blocco account a 0, in modo che gli account non vengano mai bloccati o a n, dove n è un valore abbastanza alto da permettere agli utenti di digitare erroneamente la password più volte prima che l'account venga bloccato, continuando però a garantire che l'account venga bloccato in caso di attacco di forza bruta alla password. Il valore consigliato per n nella baseline del Microsoft Security Compliance Toolkit (SCT) corrente è 10.
Nota che, se vengono usati criteri specifici per le password, è possibile che il criterio di dominio predefinito non influisca su tutti gli account; in tal caso sarà anche necessario verificare l'impostazione della crittografia reversibile in questi criteri specifici per le password.
Altre informazioni
Per ulteriori informazioni sulle impostazioni di blocco degli account, consultare Configurazione del blocco degli account.