Windows 的默认行为是在多次身份验证尝试失败(通常是三次)后锁定帐户。
这意味着
net use \\targetmachine\c$ /user:targetaccount notthepassword
net use \\targetmachine\c$ /user:targetaccount notthepassword
net use \\targetmachine\c$ /user:targetaccount notthepassword
如果没有任何帐户选中“此帐户永远不能被锁定”,您可以锁定用户,甚至可能导致整个公司倒闭。
这个安全“功能”真的可以引发拒绝服务攻击吗?默认情况下是否应该禁用它。
组织特别容易受到这种流氓员工情况的影响。
答案1
我不知道这是默认行为,这肯定是等待发生的拒绝服务。临时锁定(或简单的减速)通常足以抵御暴力攻击(关于这个话题有很多讨论,我记得有几个 StackOverflow 问题涉及这个问题,但更多的是在网站登录方面)。是的,它们也是一种潜在的拒绝服务,但仅限于攻击期间。
我并不完全同意 Dave Cheney 的观点,虽然你应该关心物理安全,但一个心怀不满的员工(在大型公司中比在小型公司中更常见)和一个借来的(可信硬件)登录屏幕就足以锁定公司的重要功能,所以我认为这还不够。
答案2
是的,这是一种潜在的拒绝服务攻击。这就是为什么微软在 Windows Server 2003 安全指南中建议将密码解锁设置为 15 分钟。NSA 是我看到的第一个真正建议使用密码解锁的机构,那是在 Windows 2000 时代。
但是,如果您有密码解锁,问题在于攻击者仍然在那里,这意味着攻击者仍然可以尝试破解密码(如果这是真正的意图)。关键是找出攻击来自哪里并将其关闭。完成此操作后,执行脚本以自动解锁所有帐户。
答案3
这是潜在的拒绝服务攻击吗?是的
你应该禁用它吗?不,你应该看看让不受信任的硬件进入你的网络的物理安全问题。
答案4
我不知道您说的是哪个版本的Windows,但Windows 2003的默认域锁定阈值设置为0,这意味着未启用锁定。