我想确保Outlook Web 访问和Exchange 2010反对蛮力攻击使用帐户锁定。
做这个的最好方式是什么?
我有以下组策略:
计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略\
- 账户锁定时长 10 分钟
- 帐户锁定阈值 5 次尝试
- 10 分钟后重置帐户锁定计数器
答案1
如果您有合理的密码策略,那就足够了。如果人们可以使用 的密码1,那可能会有问题。
您已将暴力破解密码的速率限制为每 2 分钟 1 个密码。按照这个速率,猜测一个 7 个字符、全数字的密码平均需要 19 年的连续破解……这是一个相当糟糕的密码。
答案2
虽然 Chris S 说的是真的,但您已经让自己面临 DOS 攻击。我无法侵入您的帐户,但我可以永久锁定它们。我只是不断地尝试输入错误的密码,无限期地。每个用户每 2 分钟尝试一次错误密码并不多。
您需要某种方式来监控您的日志以查找无效尝试,并最终在防火墙上阻止该 IP 地址一段时间。
如何设置在很大程度上取决于您的基础设施(日志记录、防火墙等)和您的使用模式。例如,如果同一个 IP 地址对 2-3 个帐户进行了无效尝试,您可能需要封锁该 IP 几天。如果是一个帐户,您可能只想在一小时内完成 10 次无效尝试后封锁该 IP,持续两小时。