Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Waarom dit overwegen
In het vergrendelingsbeleid voor een account wordt momenteel de drempel voor het vergrendelen van de account niet ingesteld op de aanbevolen waarde. De drempel voor het vergrendelen van accounts moet worden ingesteld op 0, zodat accounts niet worden vergrendeld (en DoS-aanvallen (Denial of Service) worden voorkomen) of op een voldoende hoge waarde, zodat gebruikers hun wachtwoord per ongeluk meerdere keren kunnen verkeerd typen voordat hun account wordt vergrendeld, maar die er nog steeds voor zorgt dat een beveiligingsaanval op wachtwoorden het account vergrendelt.
Bekijk hoe een klant-technicus het probleem verklaart
Context & Aanbevolen procedures
Bij geautomatiseerde wachtwoordaanvallen kunnen miljoenen combinaties per gebruikersaccount worden geprobeerd. Het beperken van het aantal mislukte aanmeldingspogingen kan het risico op dergelijke aanvallen aanzienlijk verminderen. Het is echter belangrijk om te weten dat als een domein een drempelwaarde voor accountvergrendeling heeft ingesteld, een reeks automatische aanmeldingspogingen voor alle gebruikersaccounts deze drempelwaarde kan activeren, waardoor elk account wordt vergrendeld.
Omdat er kwetsbaarheden kunnen bestaan wanneer de drempelwaarde voor accountvergrendeling is geconfigureerd, maar ook wanneer deze niet is geconfigureerd, zijn er twee verschillende tegenmaatregelen gedefinieerd. Elke organisatie moet de keuze tussen de twee afwegen, op basis van hun geïdentificeerde bedreigingen en de risico's die ze willen beperken. De twee tegenmaatregelen zijn:
- Configureer de instelling Drempel voor accountvergrendelingen op 0. Deze configuratie zorgt ervoor dat accounts niet worden vergrendeld en voorkomt een DoS-aanval die opzettelijk probeert accounts uit te sluiten. Deze configuratie helpt ook helpdesk-oproepen te verminderen omdat gebruikers zichzelf niet per ongeluk kunnen afsluiten van hun accounts. Omdat het een beveiligingsaanval niet voorkomt, mag deze configuratie alleen worden gekozen als aan beide van de volgende criteria expliciet wordt voldaan:
-
- Het wachtwoordbeleid vereist dat alle gebruikers complexe wachtwoorden van 8 of meer tekens hebben.
- Er is een robuust controlemechanisme ingesteld om beheerders te waarschuwen wanneer er een reeks mislukte aanmeldingen in de omgeving optreedt. De controleoplossing moet bijvoorbeeld toezien op beveiligingsgebeurtenis 539, een aanmeldingsfout; deze gebeurtenis identificeert dat er een vergrendeling op het account was op het moment van de aanmeldingspoging.
- Stel de drempelwaarde voor accountvergrendeling in op een niveau waarop gebruikers hun wachtwoord meerdere keren verkeerd kunnen typen voordat het account wordt vergrendeld. Tegelijkertijd wordt hiermee wachtwoordaanvallen voorkomen. Deze configuratie voorkomt dus onbedoelde accountvergrendelingen en vermindert helpdeskoproepen, maar voorkomt geen DoS-aanval.
Als deze beleidsinstelling is ingeschakeld, blijft een vergrendeld account ontoegankelijk totdat een beheerder het account opnieuw instelt of totdat de vergrendelingsduur is verstreken. Deze configuratie kan leiden tot een toename van het aantal helpdeskoproepen, omdat geblokkeerde accounts in veel organisaties een veelvoorkomende bron van vragen zijn. Daarnaast kan een slechte actor opzettelijk meerdere mislukte aanmeldingen activeren om gebruikers te vergrendelen en de service te verstoren. Als u de mogelijke impact wilt verminderen, is het raadzaam om de duur van de accountvergrendeling in te stellen op een korter interval, zoals 15 minuten.
Voorgestelde acties
Gebruik de Groepsbeleidbeheereditor (GPME) om het Groepsbeleidobject (GPO) te openen dat het effectieve wachtwoordbeleid voor het domein bevat; dit GPO kan het standaard domeinbeleid zijn, of een aangepaste GPO die gekoppeld is (dat wil zeggen, met een hogere prioriteit dan) het standaard domeinbeleid.
Ga in GPME naar Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Accountbeleid\Accountvergrendelingsbeleid.
Configureer de instelling Drempelwaarde voor accountvergrendeling op 0, zodat accounts nooit worden vergrendeld, of op n, waarbij n een voldoende hoge waarde is om gebruikers de mogelijkheid te geven om per ongeluk hun wachtwoord meerdere keren verkeerd in te typen voordat het account wordt vergrendeld, maar ervoor te zorgen dat een wachtwoordaanval het account nog steeds blokkeert. De huidige, door Microsoft Security Compliance Toolkit (SCT) aanbevolen waarde voor n is 10.
Houd er rekening mee dat als er een fijnmazig wachtwoordbeleid wordt gebruikt, het standaard domeinbeleid mogelijk niet van invloed is op alle accounts; in dergelijke gevallen moet u daarom ook de omkeerbare versleutelingsinstelling controleren in dit fijnmazige wachtwoordbeleid.
Meer informatie
Raadpleeg Accountvergrendeling configureren voor meer informatie over instellingen voor accountvergrendeling.