Đặt ngưỡng khóa tài khoản thành giá trị được đề xuất - Trung tâm Microsoft Engage (Trung tâm Dịch vụ)

Tại sao nên xem xét điều này

Chính sách khóa tài khoản hiện không đặt ngưỡng khóa tài khoản thành giá trị khuyến nghị. Ngưỡng khóa tài khoản nên được đặt thành 0, để tài khoản sẽ không bị khóa (và các cuộc tấn công từ chối dịch vụ (DoS) được ngăn chặn) hoặc có giá trị đủ cao để người dùng có thể vô tình nhập sai mật khẩu của họ nhiều lần trước khi tài khoản của họ bị khóa, nhưng vẫn đảm bảo rằng một cuộc tấn công bằng mật khẩu vũ phu sẽ khóa tài khoản.

Xem Kỹ sư khách hàng giải thích vấn đề

Bối cảnh và thực tiễn tốt nhất

Các cuộc tấn công bằng mật khẩu có thể sử dụng các phương pháp tự động để thử hàng triệu tổ hợp mật khẩu cho bất kỳ tài khoản người dùng nào. Hiệu quả của các cuộc tấn công như vậy gần như có thể bị loại bỏ nếu bạn giới hạn số lần đăng nhập không thành công có thể được thực hiện. Tuy nhiên, một cuộc tấn công từ chối dịch vụ (DoS) có thể được thực hiện trên một miền có ngưỡng khóa tài khoản được định cấu hình. Kẻ tấn công có thể cố gắng thực hiện một loạt các cuộc tấn công mật khẩu theo chương trình chống lại tất cả người dùng trong tổ chức. Nếu số lần thử lớn hơn ngưỡng khóa tài khoản, kẻ tấn công có thể khóa mọi tài khoản.

Bởi vì các lỗ hổng có thể tồn tại khi giá trị ngưỡng khóa tài khoản được định cấu hình cũng như khi nó không được định cấu hình, hai biện pháp đối phó riêng biệt được xác định. Bất kỳ tổ chức nào cũng nên cân nhắc sự lựa chọn giữa hai loại này dựa trên các mối đe dọa đã xác định và những rủi ro mà họ muốn giảm thiểu. Hai lựa chọn biện pháp đối phó là:

  • Định cấu hình cài đặt ngưỡng khóa tài khoản thành 0. Cấu hình này đảm bảo rằng các tài khoản sẽ không bị khóa và sẽ ngăn chặn một cuộc tấn công DoS cố tình cố gắng khóa tài khoản. Cấu hình này cũng giúp giảm các cuộc gọi bộ phận trợ giúp vì người dùng không thể vô tình khóa mình khỏi tài khoản của họ. Vì nó sẽ không ngăn chặn một cuộc tấn công vũ phu, cấu hình này chỉ nên được chọn nếu cả hai tiêu chí sau được đáp ứng rõ ràng:
    • Chính sách mật khẩu yêu cầu tất cả người dùng phải có mật khẩu phức tạp từ 8 ký tự trở lên.
    • Một cơ chế kiểm tra mạnh mẽ được áp dụng để cảnh báo quản trị viên khi một loạt đăng nhập không thành công xảy ra trong môi trường. Ví dụ: giải pháp kiểm tra nên giám sát sự kiện bảo mật 539, đó là lỗi đăng nhập; Sự kiện này xác định rằng đã có một khóa trên tài khoản tại thời điểm cố gắng đăng nhập.
  • Định cấu hình cài đặt ngưỡng khóa tài khoản thành giá trị đủ cao để cung cấp cho người dùng khả năng vô tình nhập sai mật khẩu nhiều lần trước khi tài khoản bị khóa, nhưng đảm bảo rằng một cuộc tấn công bằng mật khẩu brute force vẫn sẽ khóa tài khoản. Do đó, cấu hình này sẽ ngăn chặn việc khóa tài khoản vô tình và giảm các cuộc gọi bộ phận trợ giúp, nhưng sẽ không ngăn chặn cuộc tấn công DoS.

Nếu cài đặt chính sách này được bật, tài khoản bị khóa sẽ không thể sử dụng được cho đến khi được quản trị viên đặt lại hoặc cho đến khi hết thời hạn khóa tài khoản. Cài đặt này có thể sẽ tạo ra một số cuộc gọi bộ phận trợ giúp bổ sung. Trên thực tế, tài khoản bị khóa gây ra số lượng cuộc gọi đến bộ phận trợ giúp lớn nhất trong nhiều tổ chức. Nếu bạn thực thi cài đặt này, kẻ tấn công có thể gây ra tình trạng từ chối dịch vụ bằng cách cố tình tạo đăng nhập không thành công cho nhiều người dùng, do đó bạn cũng nên đặt cấu hình thời lượng khóa tài khoản thành giá trị tương đối thấp như 15 phút.

Hành động được đề xuất

Sử dụng Trình chỉnh sửa Quản lý Chính sách Nhóm (GPME) để mở Đối tượng Chính sách Nhóm (GPO) chứa chính sách mật khẩu hiệu quả cho miền; GPO này có thể là Chính sách miền mặc định hoặc GPO tùy chỉnh được liên kết ở trên (nghĩa là có mức độ ưu tiên cao hơn) Chính sách miền mặc định.

Trong GPME, điều hướng đến Cấu hình máy tính\Cài đặt Windows\Cài đặt bảo mật\Chính sách tài khoản\Chính sách khóa tài khoản.

Định cấu hình cài đặt ngưỡng khóa tài khoản thành 0, để tài khoản không bao giờ bị khóa hoặc n, trong đó n là giá trị đủ cao để cung cấp cho người dùng khả năng vô tình nhập sai mật khẩu của họ nhiều lần trước khi tài khoản bị khóa, nhưng đảm bảo rằng một cuộc tấn công bằng mật khẩu vũ phu vẫn sẽ khóa tài khoản. Giá trị cơ sở được đề xuất của Bộ công cụ Tuân thủ Bảo mật (SCT) hiện tại cho n là 10.

Lưu ý rằng nếu các chính sách mật khẩu chi tiết đang được sử dụng, chính sách miền mặc định có thể không ảnh hưởng đến tất cả các tài khoản; Do đó, trong những trường hợp như vậy, bạn cũng nên kiểm tra cài đặt mã hóa có thể đảo ngược trong các chính sách mật khẩu chi tiết này.

Tìm hiểu thêm

Để biết thêm thông tin về cài đặt khóa tài khoản, hãy xem Định cấu hình khóa tài khoản.