使用基本身份验证时防止 AD 帐户锁定

使用基本身份验证时防止 AD 帐户锁定

我想在虚拟目录(在 IIS6 中)上设置基本身份验证。看起来恶意用户可以使用对话框(uid/pwd 质询)尝试使用域帐户登录,并通过失败的尝试锁定此帐户(因此您可以锁定用户和服务帐户,这并不好)。有没有办法解决此行为?我尝试将默认域设置为本地计算机并使用非 AD 帐户,但这没有帮助。

提前感谢!

答案1

你应该尝试这个插件: http://www.iis.net/download/DynamicIPRestrictions 登录失败次数达到 x 次后,它将动态阻止 IP。

答案2

此问题适用于任何系统,无论是 Windows 还是其他系统。我可以创建一个简单的程序,锁定组织中每个 AD 域上的所有帐户,影响将是巨大的,并且很难从此类攻击中恢复。唯一需要的是一个用户名/域列表,任何登录网络的人都可以查看。

简而言之,如果您的密码太弱以至于可以被暴力破解,那么您的问题就不是帐户锁定。

以下是来自微软各个消息来源的一些观点:

“错误密码阈值设置得太低:这是最常见的配置错误问题之一。许多公司将错误密码阈值注册表值设置为低于默认值 10 的值。如果将此值设置得太低,当程序自动重试无效密码时,就会发生错误锁定。Microsoft 建议您将此值保留为默认值 10。”

解决帐户锁定问题
http://technet.microsoft.com/en-us/library/cc773155%28v=ws.10%29.aspx

我应该将帐户锁定设置为多少?

“你应该把它关掉。帐户锁定功能是在用户使用错误密码登录一定次数后锁定帐户的功能。它旨在保护计算机免受弱密码攻击。问题是,无论帐户是否锁定,弱密码最终都会遭到攻击。聪明的攻击者只需修改攻击方式,使其不触发帐户锁定。使用帐户锁定时,弱密码可以更长时间地抵御此类攻击,但最终还是会被破解。”

“此外,帐户锁定功能让不太熟练的攻击者可以轻松完全禁用计算机。只需使用一个简单的批处理文件即可锁定计算机上的每个帐户,从而使计算机瘫痪。帐户锁定旨在防止弱密码,但却为简单的拒绝服务攻击创造了条件。”

关于密码的常见问题
http://technet.microsoft.com/en-us/library/cc512606.aspx

答案3

由于恶意用户而导致用户帐户被锁定是一件令人讨厌的事情。由于恶意用户而导致用户帐户被盗用是一件非常糟糕的事情。

处理此问题的更好方法是设置以下策略:

  1. 多次验证失败后锁定帐户(5次?)
  2. 经过一段时间(15分钟?)后解锁帐户

这样,您既可以防止恶意人员暴力破解您的密码,又不会过多地打扰合法用户而锁定其帐户。

并且服务帐户不应该能够通过您的 Web 服务登录,而应该被限制为仅作为任务或服务登录(这也是使用 GPO 设置的)。

相关内容