Я хочу настроить базовую аутентификацию в виртуальном каталоге (в IIS6). Похоже, что злоумышленник может использовать диалоговое окно (вызов uid / pwd), чтобы попытаться войти в систему с учетной записью домена и заблокировать эту учетную запись через неудачные попытки (чтобы вы могли заблокировать учетные записи пользователей и служб, что не очень хорошо). Есть ли способ обойти такое поведение? Я попытался установить домен по умолчанию на локальный компьютер и использовать учетную запись, отличную от AD, но это не помогло.
Спасибо заранее!
Вам следует попробовать этот аддон: http://www.iis.net/download/DynamicIPRestrictions Он будет динамически блокировать IP-адреса после x-числа неудачных попыток входа.
Эта проблема касается любой системы, Windows или любой другой. Я могу создать простую программу, которая будет блокировать каждую учетную запись в каждом домене AD в организации, последствия будут огромными, и от такой атаки будет очень трудно оправиться. Единственное, что требуется, это список имен пользователей / доменов, которые доступны любому, кто входит в сеть.
Проще говоря, если ваши пароли настолько ненадежны, что их можно взломать, проблема не в блокировке учетной записи.
Вот некоторые точки зрения из разных источников в Microsoft:
«Порог неверного пароля установлен слишком низко: это одна из наиболее распространенных проблем с неправильной конфигурацией. Многие компании устанавливают для параметра реестра пороговое значение неверного пароля значение ниже значения по умолчанию, равного 10. Если вы установите слишком низкое значение этого значения, произойдут ложные блокировки. когда программы автоматически повторяют ввод недействительных паролей. Microsoft рекомендует оставить для этого значения значение по умолчанию 10 ».
Устранение неполадок с блокировкой учетной записи
http://technet.microsoft.com/en-us/library/cc773155%28v=ws.10%29.aspx
На что мне установить блокировку учетной записи?
"Вам следует выключить его. Блокировка учетной записи - это функция, которая блокирует учетную запись после определенного количества попыток входа с неправильным паролем. Она предназначена для защиты компьютера от слабых паролей. Проблема в том, что слабые пароли в конечном итоге будут все равно попадут в атаку, независимо от блокировки учетной записи. Умный злоумышленник просто изменит атаку таким образом, чтобы не вызвать блокировку учетной записи. Слабый пароль будет дольше противостоять такой атаке, когда используется блокировка учетной записи, но он будет все равно в конечном итоге сломаться ".
"Кроме того, блокировка учетной записи делает тривиальным для менее опытного злоумышленника полное отключение компьютера. Простой командный файл может использоваться для блокировки каждой учетной записи на компьютере, тем самым нанося ему вред. Блокировка учетной записи, хотя и предназначена для защиты от слабых паролей , вместо этого создайте условие, при котором возможна банальная атака отказа в обслуживании ".
Часто задаваемые вопросы о паролях
http://technet.microsoft.com/en-us/library/cc512606.aspx
Блокировка учетной записи пользователя из-за злоумышленника раздражает. Взломать учетную запись пользователя из-за злоумышленника - это плохо.
Лучший способ справиться с этим - установить политику:
Таким образом, вы можете предотвратить взлом злоумышленником вашего пароля и не беспокоить легитимных пользователей, которые могут заблокировать его учетную запись.
А учетные записи служб не должны иметь возможность входить в систему через ваши веб-службы, но должны иметь ограничение на вход только в качестве задач или служб (это также устанавливается с помощью объектов групповой политики).