為何要考慮到這一點
目前帳戶鎖定原則還沒將帳戶鎖定閾值設為建議值。 帳戶鎖定閾值應設為 0,這樣子帳戶就不會鎖定(並阻止拒絕服務的攻擊 (DoS) 攻擊),或者設定值要夠高,這樣子使用者就可以在帳戶鎖定之前,不小心多次鍵入錯誤密碼,卻仍確保暴力密碼破解攻擊只會鎖定帳戶。
觀賞客戶工程師如何解釋問題
內容與最佳做法
自動密碼攻擊可以針對每個使用者帳戶嘗試數百萬種組合。 限制失敗的登入嘗試次數可大幅降低這類攻擊成功的風險。 不過,請務必注意,如果網域已設定帳戶鎖定閾值,則所有用戶帳戶的一系列自動登入嘗試可能會觸發該閾值,導致每個帳戶遭到鎖定。
由於在設定和未設定帳戶鎖定閾值時可能存在漏洞,因此會對兩種不同的對策下定義。 任何組織都應以識別的威脅和想要降低的風險為主,來權衡利弊,在兩者之間做選擇。 兩種對策選項分別為:
- 將帳戶鎖定閾值的設定設為 0。 此設定可確保帳戶不會被鎖定,並可防止有意嘗試鎖定帳戶的 DoS 攻擊。 因為使用者不會不小心將自己鎖定在帳戶中,此設定還有助於減少支援人員通話次數。 由於它不會阻止暴力攻擊,只有在明顯滿足下列兩大條件時,才應選擇此設定:
-
- 密碼原則要求所有使用者擁有複雜密碼,至少 8 個字元以上。
- 環境中出現一連串失敗登入時,已建立強大稽核機制,以提醒系統管理員。 例如,稽核解決方案應監視資安事件 539,也就是登入失敗;此事件會識別,看看在嘗試登入時,帳戶有沒有上鎖。
- 將 帳戶鎖定閾值 設定為可讓使用者在帳戶鎖定前多次輸入密碼的層級,同時確保可防止暴力密碼攻擊。 此設定能防止不小心將帳戶鎖定,並減少支援人員通話次數,但卻無法阻止 DoS 攻擊。
如果啟用此原則設定,鎖定的帳戶將保持不可存取狀態,直到系統管理員重置或帳戶鎖定時間到期。 此設定可能會導致技術支援中心通話增加,因為鎖定帳戶是許多組織常見的查詢來源。 此外,不良行為者可能會刻意觸發多個失敗的登入,以鎖定使用者並中斷服務。 為了降低潛在影響,建議將帳戶鎖定時間設定為較短的間隔,例如 15 分鐘。
建議動作
使用群組原則管理編輯器 (GPME) 開啟包含網域有效密碼原則的群組原則物件 (GPO);此 GPO 可以是預設網域原則,或是連結的自訂 GPO (即優先順序要高於)預設網域原則。
在 GPME 中,前往 Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy。
將 帳戶鎖定閾值 設定為 0,這樣子帳戶永遠不會鎖定,或者 n,只要 n 數值夠高,使用者就可以在帳戶鎖定之前,不小心多次鍵入錯誤密碼,卻仍確保暴力密碼破解攻擊只會鎖定帳戶。 目前 n的 Microsoft 安全性法務遵循工具組 (SCT) 基準建議值為 10。
請注意,如果有使用到微調密碼原則,則預設網域原則很可能不會影響到所有帳戶;這種情況下,您還應該檢查微調密碼原則中的可逆加密設定。
深入瞭解
如需有關帳戶鎖定設定的詳細資訊,請參閱設定帳戶鎖定 (英文)。