Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Почему это достойно внимания
В настоящее время политика блокировки учетной записи не имеет порога блокировки учетной записи на рекомендуемом значением. Порог блокировки учетной записи должен быть установлен на 0, чтобы учетные записи не блокировались (а атаки типа "отказ в обслуживании" (DoS) предотвращаются), или на достаточно высокое значение, чтобы пользователи могли неправильно ввести пароль несколько раз, прежде чем их учетная запись будет заблокирована. Порог должен быть таким, чтобы атаки методом подбора все равно блокировались.
Посмотрите, как инженер по работе с клиентами объясняет проблему
Контекст и рекомендации
Автоматизированные атаки на пароли могут перебирать миллионы комбинаций для каждой учетной записи пользователя. Ограничение количества неудачных попыток входа может значительно снизить риск успешного выполнения таких атак. Однако важно отметить, что если у домена задано пороговое значение блокировки учетной записи, ряд автоматических попыток входа во всех учетных записях пользователей потенциально может активировать это пороговое значение, что приведет к блокировке каждой учетной записи.
Поскольку при настройке порога блокировки учетной записи, а также при отсутствии его настройки могут быть уязвимости, выявляются две контрмеры. Любая организация должна взвешивать выбор между ними на основе выявленных угроз и рисков, которые она хочет смягчить. Два варианта контрмер:
- Установите Порог блокировки учетной записи на 0. Эта настройка гарантирует, что учетные записи не будут заблокированы, и предотвратит DoS-атаку с целью блокировки учетных записей. Эта настройка также помогает сократить обращения в службу поддержки, поскольку пользователи не могут случайно заблокировать свои учетные записи. Поскольку это не предотвратит атаку методом подбора, эта конфигурация должна быть выбрана только в том случае, если оба следующих критерия явно выполнены:
-
- Политика паролей требует, чтобы все пользователи имели сложные пароли из 8 или более символов.
- Действует надежный механизм аудита для оповещения администраторов о возникновении серии неуспешных входов в среде. Например, решение для аудита должно отслеживать событие безопасности 539, то есть сбой входа. Это событие означает, что во время попытки входа учетная запись была заблокирована.
- Установите порог блокировки учетной записи на уровне, который позволяет пользователям несколько раз неправильно ввести пароль, прежде чем учетная запись будет заблокирована, а также гарантирует отсутствие атак методом подбора пароля. Эта конфигурация предотвратит случайные блокировки учетных записей и сократит обращения в службу поддержки, но не предотвратит DoS-атаку.
Если эта настройка политики включена, заблокированная учетная запись не будет доступна до тех пор, пока она не будет сброшена администратором или пока не истечет срок блокировки учетной записи. Эта конфигурация может привести к увеличению обращений в службу поддержки, так как заблокированные учетные записи являются общим источником запросов во многих организациях. Кроме того, злоумышленник может намеренно активировать несколько неудачных входов, чтобы заблокировать пользователей и нарушить работу службы. Чтобы уменьшить потенциальное влияние, рекомендуется задать длительность блокировки учетной записи на более короткий интервал, например 15 минут.
Рекомендуемые действия
Используйте редактор "Управление групповыми политиками" (GPME) для открытия объекта групповой политики (GPO), содержащего эффективную политику паролей для домена. Этот GPO может быть политикой домена по умолчанию или пользовательским GPO, связанным (т. е. с более высоким приоритетом) с политикой домена по умолчанию.
В GPME перейдите в раздел Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика блокирования учетной записи.
Настройте параметр Порог блокировки учетных записей либо на 0, чтобы учетные записи никогда не блокировались, либо на n, где n является достаточно высоким значением, которое предоставляет пользователям возможность случайно ввести неверный пароль несколько раз, прежде чем учетная запись будет заблокирована. Убедитесь, что атака методом подбора паролей будет по-прежнему блокировать учетную запись. Текущее базовое рекомендуемое значение набора средств обеспечения соответствия требованиям безопасности Microsoft (SCT) для n составляет 10.
Обратите внимание, что при использовании политик паролей с детальными разрешениями политика домена по умолчанию может повлиять не на все учетные записи. В таких случаях следует также проверить обратимую настройку шифрования в этих политиках паролей с детальными разрешениями.
Подробнее
Для получения дополнительной информации о параметрах блокировки учетной записи см. раздел «Настройка блокировки учетной записи».