Windows 的默认行为是在多次失败的身份验证尝试(通常是 3 次)后锁定帐户。
这意味着通过以下
net use \\targetmachine\c$ /user:targetaccount notthepassword
net use \\targetmachine\c$ /user:targetaccount notthepassword
net use \\targetmachine\c$ /user:targetaccount notthepassword
如果没有一个帐户选中“此帐户永远不会被锁定”,您可以锁定一个用户,甚至可能关闭整个公司。
这个安全“功能”真的是拒绝服务攻击的促成因素吗?并且默认情况下应该禁用它。
一个组织特别容易受到流氓员工的影响。
我不知道这是默认行为,这绝对是等待发生的拒绝服务。临时锁定(或简单的减速)通常足以抵御暴力攻击(关于这个主题有很多讨论,我记得有几个 StackOverflow 问题处理这个问题,但更多的是在网站登录领域)。是的,它们也是潜在的拒绝服务,但仅限于攻击期间。
我不完全同意戴夫·切尼(Dave Cheney)的观点,虽然您应该关注人身安全,但心怀不满的员工(在大公司比小公司更常见)和借来的(受信任的硬件)登录屏幕就是锁定所需要的一切降低公司的重要职能,所以我认为这还不够。
是的,这是一种潜在的拒绝服务攻击。这就是为什么 Windows Server 2003 安全指南中的 Microsoft 建议将密码解锁设置为 15 分钟。NSA 是我看到的第一个真正提议使用密码解锁的人,那是在 Windows 2000 时代。
但是,如果您有密码解锁,问题是攻击者仍然存在,这意味着攻击者仍然可以尝试破解密码(如果这是真正的意图)。关键是要找出攻击的来源并关闭它。完成后,执行脚本以自动解锁所有帐户。
是否是潜在的拒绝服务攻击,是的
你应该禁用它吗?不,您应该查看让不受信任的硬件进入您的网络的物理安全问题。
我不知道您说的是哪个版本的 Windows,但 Windows 2003 将默认域锁定阈值设置为 0,这意味着未启用锁定。