对于与 MS SQL 后端通信的 IIS 层的相当标准的、面向内部的 Web 应用程序,我们使用 IIS 的服务帐户与 SQL 通信。
我们还在 Active Directory 中设置了密码锁定设置,以免过多的猜测锁定帐户。
继帐户锁定是否是即将发生的拒绝服务攻击?场景 - 为服务帐户用户设置“本地拒绝登录”是否会以任何方式影响此锁定功能?
或者(另外?)这是托管服务帐户应该帮助修复吗?
答案1
我不知道 MSA 的设计初衷是否就是为了防范这种风险,但它们确实有这个功能,当你确实需要非交互式帐户作为服务帐户时,最佳做法是使用它们。
拒绝本地登录标志对 locokout 策略没有影响 - 身份验证发生在强制执行这些策略之前。
答案2
嗯,我认为这是你面临的问题,
要保护托管服务帐户,请参考此链接,
http://hitachi-id.com/password-manager/docs/password-management-best-practices.html
如果是这种情况,希望这会有所帮助。
答案3
别忘了,你还可以精确配置允许在哪些机器上使用帐户。我确信这会阻止身份验证过程启动。
我不记得这是否是通过 ADUC 公开的,但它最终在 AD 中用户对象的 userWorkstations 属性中定义。