如何防止 Windows 服务帐户的密码锁定拒绝服务

如何防止 Windows 服务帐户的密码锁定拒绝服务

对于与 MS SQL 后端通信的 IIS 层的相当标准的、面向内部的 Web 应用程序,我们使用 IIS 的服务帐户与 SQL 通信。

我们还在 Active Directory 中设置了密码锁定设置,以免过多的猜测锁定帐户。

帐户锁定是否是即将发生的拒绝服务攻击?场景 - 为服务帐户用户设置“本地拒绝登录”是否会以任何方式影响此锁定功能?

或者(另外?)这是托管服务帐户应该帮助修复吗?

答案1

我不知道 MSA 的设计初衷是否就是为了防范这种风险,但它们确实有这个功能,当你确实需要非交互式帐户作为服务帐户时,最佳做法是使用它们。

拒绝本地登录标志对 locokout 策略没有影响 - 身份验证发生在强制执行这些策略之前。

答案2

嗯,我认为这是你面临的问题, 在此处输入图片描述

要保护托管服务帐户,请参考此链接,

http://hitachi-id.com/password-manager/docs/password-management-best-practices.html

如果是这种情况,希望这会有所帮助。

答案3

别忘了,你还可以精确配置允许在哪些机器上使用帐户。我确信这会阻止身份验证过程启动。

我不记得这是否是通过 ADUC 公开的,但它最终在 AD 中用户对象的 userWorkstations 属性中定义。

相关内容