我最近正在使用一个实验室设置(Windows 2003 R2 x32 SP2,Windows XP SP3,Active Directory),并注意到如果我锁定工作站,就会出现以下奇怪的行为:
我有一个锁定策略,规定帐户在三次无效尝试后将被锁定。在解锁工作站时尝试此策略时,工作站正确地显示帐户在三次无效尝试后将被锁定,但它让我继续尝试密码。如果我最终输入正确的密码,它就会解锁工作站。
如果我在工作站锁定时更改用户密码,两个都 旧密码和新密码将解锁工作站。
如果我在工作站锁定时禁用用户帐户,他们可以 仍登录并继续访问资源。
这种行为是正确的还是只是我的设置中的一个错误?有没有关于如何缓解这个问题的建议?
攻击向量利用 #1如果黑客根据用户的生日、孩子的名字等信息组合,列出大约 200 个可能的密码,那么黑客就会成功。然后,他们会依次尝试每个密码,看看它们是否正确(可能使用 USB 键盘楔来自动执行)。
由于三次尝试后仍未被锁定,他们可以继续尝试直到他们获得密码。一旦他们有了密码,他们只需等待管理员解锁用户的帐户,然后他们就可以以用户身份登录。
问题 #2 和 #3比如说,如果有人刚刚被解雇,你想阻止他们带走文件,并禁用他们的帐户/更改他们的密码,如果他们的工作站被锁定(或者我假设他们已经登录到他们的计算机),他们仍然可以访问这些文件。
答案1
我不相信这是一个错误。
不同之处在于,默认情况下,帐户锁定策略适用于具有新身份验证和登录的新会话。
如果工作站被锁定,则机器上已经有一个活动的、登录的会话。
这显然可以通过“ForceUnlockLogon”注册表设置进行更改。切换此功能需要工作站解锁才能从 DC 重新获得授权,从而避免使用旧的缓存凭据。
如果工作站中的 LOCAL 帐户被锁定,您可以在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies 中添加以下注册表值:
禁用密码缓存 DWORD 00000001
通过快速谷歌搜索,我们发现 MS 在 sysoptools 上发表了这篇论文: http://www.sysoptools.com/support/files/Account%20Passwords%20and%20Policies%20In-Depth.doc
它包含与登录、帐户锁定策略以及可以发挥作用的设置讨论相关的详细信息。
关于#3 的附加说明(也在链接的论文中涉及):如果被锁定的用户的有效 Kerberos 票证尚未过期,则他们仍然可以访问。
答案2
我认为有两点:“解锁工作站”实际上不是登录,缓存的凭据在这里发挥了作用。但我同意,这很奇怪,我认为我也需要检查一下。
答案3
锁定可能有时间限制?这也是组策略设置,可以设置,所以你以为你的密码最终会起作用,但实际上账户只是自动解锁,然后你输入正确的密码?
关于第 3 点,我相信有一种方法可以列出当前活动的域登录,尽管我必须对此进行研究。然后,当您终止某人时,您可以将他们从系统中启动,禁用他们的帐户,这样您就安全了。