Недавно я играл с лабораторной настройкой (Windows 2003 R2 x32 SP2, Windows XP SP3, Active Directory) и заметил, что если я заблокировал рабочую станцию, то появилось следующее странное поведение:
У меня есть политика блокировки, которая гласит, что учетная запись заблокирована после трех недопустимых попыток. При попытке это сделать при разблокировке рабочей станции рабочая станция правильно сообщает, что учетная запись заблокирована после трех недопустимых попыток, но позвольте мне продолжить вводить пароли. Если я в конце концов введу правильный пароль, рабочая станция разблокируется.
Если я изменю пароль пользователя, когда рабочая станция заблокирована, обе старый и новый пароль разблокируют рабочую станцию.
Если я отключу учетную запись пользователя, когда рабочая станция заблокирована, они могут все еще авторизуйся и продолжайте получать доступ к ресурсам.
Это правильное поведение или просто ошибка в моей настройке? Есть какие-нибудь указания о том, как решить эту проблему?
Вектор атаки для использования # 1 будет, если у хакера есть список из примерно 200 возможных паролей, основанный на комбинациях дня рождения пользователя, детских имен и т. д. Затем они по очереди пробуют каждый из этих паролей, чтобы убедиться, что они верны (возможно, используя клин клавиатуры USB для автоматизации).
Поскольку они не блокируются после трех попыток, они могут продолжать пытаться пока они не получат пароль. Получив пароль, они просто ждут, пока пользователь разблокирует свою учетную запись администратором, а затем могут войти в систему как пользователь.
Проблема с # 2 и # 3 было бы, если, скажем, кого-то только что уволили, и вы хотели запретить им брать с собой файлы, и отключили свою учетную запись / изменили свой пароль, они все равно могли бы получить доступ к файлам, если их рабочая станция была заблокирована (или я предполагаю, что они уже были вошли в свой компьютер).
Я не верю, что это ошибка.
Разница в том, что политика блокировки учетной записи применяется к новым сеансам с новой авторизацией и входом в систему при обстоятельствах по умолчанию.
В случае заблокированной рабочей станции на коробке уже есть активный сеанс, для которого выполнен вход.
Очевидно, это можно изменить с помощью параметра реестра ForceUnlockLogon. Переключение этого параметра требует разблокировки рабочей станции для повторной аутентификации от контроллера домена и, таким образом, позволяет избежать использования старых кэшированных учетных данных.
В случае заблокированной ЛОКАЛЬНОЙ учетной записи на рабочей станции вы можете добавить следующее значение реестра в HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ policy:
DisablePasswordCaching DWORD 00000001
Быстрый поиск в Google нашел эту статью от MS в sysoptools: http://www.sysoptools.com/support/files/Account%20Passwords%20and%20Policies%20In-Depth.doc
В нем есть подробности, касающиеся входа в систему, политики блокировки учетной записи и обсуждения параметров, которые могут быть задействованы.
Дополнительное примечание по поводу: № 3 (также описанного в связанной статье): заблокированный пользователь может получить доступ, если срок действия его действующего билета Kerberos не истек.
У локаута может быть ограничение по времени? Это также параметр групповой политики, и его можно установить, так что вы думаете, что ваш пароль в конечном итоге работает, но на самом деле учетная запись просто автоматически разблокируется, а затем вы вводите правильный пароль?
Что касается номера 3, я считаю, что есть способ перечислить текущие активные входы в домен, хотя мне придется это исследовать. Затем, когда вы удалите кого-то, вы можете загрузить его из системы, отключить его учетную запись, и вы будете в безопасности.
Я считаю, что две вещи: «разблокировать рабочую станцию» на самом деле не является входом в систему, и здесь свою роль играют кэшированные учетные данные. Но я согласен, это странно, и я думаю, что мне тоже нужно это проверить.