Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Por que Considerar isso
A política de bloqueio de conta não define atualmente o limite de bloqueio de conta para o valor recomendado. O limite de bloqueio de conta deve ser definido como 0, de modo que as contas não sejam bloqueadas (e ataques de Negação de Serviço (DoS) sejam evitados) ou com um valor suficientemente alto para que os usuários possam acidentalmente digitar sua senha várias vezes antes de sua conta ser bloqueada, mas que ainda garante que um ataque de senha forçada bloqueie a conta.
Assista à explicação de um Engenheiro de Clientes sobre o problema
Contexto e Práticas Recomendadas
Ataques automatizados por senha podem tentar milhões de combinações para cada conta de usuário. Limitar o número de tentativas de login com falha pode reduzir significativamente o risco de tais ataques serem bem-sucedidos. No entanto, é importante observar que, se um domínio tiver um limite de bloqueio de conta definido, uma série de tentativas de login automatizadas em todas as contas de usuário poderá acionar esse limite, resultando no bloqueio de todas as contas.
Como vulnerabilidades podem existir quando o limite de bloqueio de conta é configurado e também quando não é, duas contramedidas distintas são definidas. Qualquer organização deve avaliar a escolha entre os dois com base em suas ameaças identificadas e os riscos que deseja reduzir. As duas opções de contramedida são:
- Defina a configuração do Limite de bloqueio de conta como 0. Essa configuração garante que as contas não serão bloqueadas e evitará um ataque de DoS, que tenta bloquear contas intencionalmente. Essa configuração também ajuda a reduzir as chamadas de assistência técnica porque os usuários não podem bloquear acidentalmente suas contas. Como não impedirá um ataque de força bruta, essa configuração deve ser escolhida somente se os dois critérios seguintes forem atendidos explicitamente:
-
- A diretiva de senha exige que todos os usuários tenham senhas complexas de 8 ou mais caracteres.
- Um mecanismo de auditoria robusto está preparado para alertar os administradores quando ocorre uma série de logons falhados no ambiente. Por exemplo, a solução de auditoria deve monitorar o evento de segurança 539, que é uma falha de logon; esse evento identifica que houve um bloqueio na conta no momento da tentativa de logon.
- Defina o Limite de bloqueio de conta para um nível que permita que os usuários digitem suas senhas incorretamente várias vezes antes que a conta seja bloqueada, garantindo também que isso impeça ataques de força bruta de senha. Esta configuração irá impedir bloqueios de conta acidentais e reduzir as chamadas de assistência técnica, mas não impedirá um ataque de DoS.
Se essa configuração de política estiver ativada, uma conta bloqueada permanecerá inacessível até que um administrador a redefina ou até que a duração do bloqueio termine. Essa configuração pode levar a um aumento nas chamadas de suporte técnico, pois as contas bloqueadas são uma fonte comum de consultas em muitas organizações. Além disso, um ator mal-intencionado pode disparar intencionalmente vários logons com falha para bloquear usuários e interromper o serviço. Para diminuir o impacto potencial, é aconselhável definir a duração do bloqueio da conta para um intervalo mais curto, como 15 minutos.
Ações sugeridas
Use o GPME (Editor de Gerenciamento de Política de Grupo) para abrir o GPO (Objeto de Diretiva de Grupo), que contém a política de senha efetiva para o domínio; esse GPO pode ser a diretiva de domínio padrão ou um GPO personalizado vinculado acima (ou seja, com maior precedência do que) à Diretiva de Domínio Padrão.
No GPME, acesse Configurações do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta.
Defina a configuração do Limite de bloqueio de conta como 0, para que as contas nunca sejam bloqueadas, ou n, onde n é um valor suficientemente alto para fornecer aos usuários a capacidade de acidentalmente digitar incorretamente a senha várias vezes antes de a conta ser bloqueada, mas garantir que um ataque de força bruta à senha ainda bloqueie a conta. O valor recomendado da linha de base do Microsoft Security Compliance Toolkit (SCT) recomendado para n é 10.
Observe que, se estão sendo usadas políticas de senha refinadas, a diretiva de domínio padrão pode não afetar todas as contas; nesses casos, você também deve verificar a configuração de criptografia reversível nessas políticas de senha refinadas.
Saiba Mais
Para obter mais informações sobre configurações do bloqueio de conta, consulte Configuração do Bloqueio de Conta.