将帐户锁定阈值设置为建议值

为什么考虑这种情况

帐户锁定策略当前未将帐户锁定阈值设置为推荐值。 应将帐户锁定阈值设置为 0，这样帐户将不会被锁定（防止拒绝服务 (DoS) 攻击）或设置为足够高的值，以便用户在帐户被锁定之前可多次意外地输错密码，但仍可确保强力密码攻击将锁定帐户。

观看客户工程师解释问题

上下文和最佳做法

密码攻击可以使用自动方法为任何用户帐户尝试数百万个密码组合。 如果你限制可以执行的失败登录次数，则可基本消除此类攻击的有效性。 但是，仍可以在配置了帐户锁定阈值的域上执行 DoS 攻击。 攻击者可以通过编程方式尝试对组织中的所有用户进行一系列密码攻击。 如果尝试次数大于帐户锁定阈值，则攻击者可能会锁定每个帐户。

由于配置和未配置此值时都存在漏洞，因此定义了两个不同的对策。 任何组织应根据已确认的威胁和要缓解的风险在两种对策之间权衡选择。 这两种对策选项是：

• 将“帐户锁定阈值”设置配置为“0”。 此配置可确保帐户不会被锁定，并可防止故意尝试锁定帐户的 DoS 攻击。 此配置还有助于减少服务台呼叫，因为用户不会意外地将自己锁定在帐户之外。 由于无法阻止暴力攻击，因此只有在同时显式符合以下条件时才可选择此配置：
• • 密码策略要求所有用户拥有 8 个或更多字符的复杂密码。
    • 存在可靠审核机制，在环境中发生一系列失败登录时警告管理员。 例如，审核解决方案应监视安全事件 539，该事件为登录失败；该事件标识该帐户在登录尝试时有一次锁定。
• 将帐户锁定阈值设置配置为足够高的值，使用户能够在帐户被锁定前多次误输密码，但要确保暴力密码攻击仍会锁定帐户。 因此，此配置将阻止意外的帐户锁定并减少技术支持呼叫，但不会阻止 DoS 攻击。

如果启用此策略设置，则在管理员重置锁定帐户或帐户锁定持续时间到期之前，锁定帐户将无法使用。 此设置可能会生成许多其他支持人员呼叫。 实际上，在许多组织中，锁定帐户导致的支持人员呼叫次数是最多的。 如果您强制执行此设置，攻击者可能会故意为多个用户生成失败登录，从而引发拒绝服务条件，因此您还应将帐户锁定持续时间配置为相对较低的值（如 15 分钟）。

建议措施

使用组策略管理编辑器 (GPME) 打开包含域的有效密码策略的组策略对象 (GPO)；此 GPO 可以是默认域策略或上面链接的自定义 GPO（即优先级高于默认域策略）。

在 GPME 中，导航到“计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略”。

将“帐户锁定阈值”设置配置为“0”，这样帐户永远不会被锁定；或者配置为“n”，其中 n 是一个足够高的值，使用户能够在帐户被锁定前多次误输密码，但确保暴力密码攻击仍会锁定该帐户。 n 的当前 Microsoft 安全和合规工具包 (SCT) 基线建议值为 10。

请注意，如果使用细粒度密码策略，则默认域策略可能不会影响所有帐户；在这种情况下，你还应该检查这些细粒度密码策略中的可逆加密设置。

了解详情

有关帐户锁定设置的更多信息，请参阅配置帐户锁定。