我最近在玩实验室设置(Windows 2003 R2 x32 SP2、Windows XP SP3、Active Directory)并注意到如果我锁定了工作站,就会出现以下奇怪的行为:
我有一个锁定政策,规定帐户在三次无效尝试后被锁定。在解锁工作站时尝试此操作时,工作站正确地说该帐户在三次无效尝试后被锁定,但它让我继续尝试密码。如果我最终输入正确的密码,它将解锁工作站。
如果我在工作站锁定时更改用户密码, 旧密码和新密码都会解锁工作站。
如果我在工作站锁定时禁用用户帐户,他们 仍然可以登录并继续访问资源。
这种行为是正确的还是只是我的设置中的错误?有关如何缓解此问题的任何指示?
利用#1 的攻击向量是,如果黑客根据用户的生日、孩子姓名等的组合,拥有一个可能包含 200 个左右的可能密码的列表。然后他们依次尝试这些密码中的每一个,以查看它们是否正确(可能使用 USB 键盘楔来自动化它)。
因为他们在尝试三次后都没有被锁定,所以他们可以继续尝试直到获得密码。一旦他们有了密码,他们只需等待用户让管理员解锁他们的帐户,然后他们就可以以用户身份登录。
#2 和 #3 的问题是,如果有人刚刚被解雇,而您想阻止他们随身携带文件,并禁用他们的帐户/更改他们的密码,如果他们的工作站被锁定,他们仍然可以访问文件(或者我假设他们是否已经登录到他们的计算机)。
我不相信这是一个错误。
不同之处在于帐户锁定策略适用于默认情况下具有新身份验证和登录的新会话。
在锁定工作站的情况下,盒子上已经有一个活动的登录会话。
这显然可以通过“ForceUnlockLogon”注册表设置进行更改。切换此设置需要解锁工作站以从 DC 获得重新身份验证,从而避免使用旧的缓存凭据。
在工作站中锁定 LOCAL 帐户的情况下,您可以将以下注册表值添加到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies:
禁用密码缓存 DWORD 00000001
MS 在 sysoptools 上通过谷歌搜索找到了这篇论文: http ://www.sysoptools.com/support/files/Account%20Passwords%20and%20Policies%20In-Depth.doc
它包含有关登录、帐户锁定策略和可能发挥作用的设置的讨论的详细信息。
附加说明:#3(也包括在链接的论文中):如果他们仍然有效的 kerberos 票证尚未过期,被锁定的用户仍然可以获得访问权限。
我认为有两件事:“解锁工作站”实际上不是登录,缓存的凭据在这里发挥了作用。但我同意,这很奇怪,我认为我也需要检查一下。
锁定可能有时间限制?这也是一个组策略设置,并且可以设置,所以您认为您的密码最终会起作用,但实际上该帐户只是自动解锁然后您输入了正确的密码?
关于数字 3,我相信有一种方法可以列出当前活动的域登录,但我必须对此进行研究。然后,当您终止某人时,您可以将他们从系统中引导出来,禁用他们的帐户,这样您就安全了。