强大的帐户锁定策略是阻止 Windows 域上的暴力验证尝试的最有效工具之一。

一旦攻击者多次输入错误密码,该帐户就会被锁定。这可以防止任何其他尝试,直到管理员解锁该帐户。

specops-account-lockout-policies.jpg

创建帐户锁定策略

要创建帐户锁定策略,首先打开要在其中创建策略的组策略对象。接下来,通过控制台树导航到Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Account Lockout Policy。正如您在图 1 中看到的,构成帐户锁定策略的三个单独的设置。

在组策略管理编辑器中配置帐户锁定策略

图 1:在组策略管理编辑器中配置帐户锁定策略

帐户锁定策略设置

1 锁定时长设置
帐户锁定策略中使用的第一个设置是锁定持续时间。如果帐户被锁定,锁定持续时间设置将控制锁定将持续多长时间。启用帐户锁定持续时间设置允许您以分钟为单位输入锁定期。您可以将锁定持续一分钟到 99.999 分钟。

作为替代方案,您可以通过将帐户锁定持续时间值设置为 0 来强制帐户锁定保持有效,直到管理员解锁帐户。

2 账户锁定阈值设置
用作帐户锁定策略基础的第二个组策略设置是帐户锁定阈值设置。该设置确定导致帐户被锁定的失败登录尝试次数。例如,将帐户锁定阈值设置为值 5 意味着用户的帐户将在五次登录尝试失败后被锁定。

您可以指定的最大失败登录尝试次数(假设已启用该设置)为 999,尽管大多数组织使用的值是 3 或 5。顺便说一句,如果您将该值设置为 0,那么帐户将永远不会被锁定。

3 设置后重置账户锁定计数器
帐户锁定策略中的第三个设置是设置后重置帐户锁定计数器。此设置确定在 Windows 将帐户的失败登录计数重置为零之前必须经过的时间量。重置周期可以设置为最短 1 分钟或最长 99.999 分钟。

想象一下,一个组织有一个帐户锁定策略,该策略会在 3 次错误登录尝试后锁定用户的帐户。现在,假设用户连续两次输入错误的密码。如果用户第三次输入错误的密码,该帐户将被锁定。

但是,如果用户要等待并在第二天再次尝试登录,那么他们将再尝试 3 次,因为重置帐户锁定计数器最终会过期,基本上就好像没有发生失败的登录(至少从一个帐户)锁定预期)。

帐户锁定问题

尽管可以将帐户锁定策略配置为在一段时间后自动解锁用户帐户,但大多数组织都需要管理员解锁已锁定的帐户。毕竟,帐户被锁定是有原因的,执行自动解锁可能会带来安全风险。

当然,从最终用户的角度来看,要求管理员解锁帐户可能会有问题。例如,帐户锁定可能发生在深夜或周末,此时没有人可以解锁帐户。同样,如果支持台很忙,用户可能不得不等待技术人员可用。

Specops uReset通过允许用户解锁自己的帐户来解决这个问题。如果用户的帐户被锁定,则用户可以访问自助服务 Web 门户并请求解锁帐户。然后,门户要求用户通过可定制的多因素身份验证过程最终证明其身份。最好的部分——最近发生的所有混合在家工作可能会再次出现的本地缓存凭据问题不再是问题。

当用户提供所需的身份验证信息时,用户的密码将被重置并且他们的帐户被解锁,所有这些都无需致电帮助台。这个过程不仅方便需要解锁帐户的最终用户,还有助于减少服务台人员的工作量,因为用户可以重置自己的密码并解锁自己的帐户。您可以在 Active Directory 中免费测试 Specops uReset,看看它是否合适。

Tags: none

我有个想法