اطمینان از تنظیم Reset Account Lockout Counter After به 15 دقیقه یا بیشتر
پروفایل قابل اجرا:
Level 1 – Domain Controller
Level 1 – Member Server
توضیحات:
تنظیمات این Policy مدت زمان قبل از بازگرداندن Account Lockout Threshold به صفر را تعیین می کند. مقدار پیش فرض برای این Policy، به صورت Not Defined یا تعریف نشده می باشد. در صورتی که Account Lockout Threshold تنظیم شده باشد، زمان مربوط به Policy جاری باید کمتر یا برابر مقدار Account Lockout Duration باشد.
در صورتی که این Policy به صورت پیش فرض تنظیم شده و یا مقدار آن یک بازه زمانی طولانی تنظیم شده باشد، محیط شما نسبت به حملات DoS آسیب پذیر خواهد بود.
یک نفوذگر می تواند تعداد زیادی ورود ناموفق را برای همه کاربران سازمان انجام دهد که منجر به مسدود شدن حساب های کاربری آن ها گردد. اگر هیچ Policy برای ریست نمودن مسدودن شدن حساب کاربری انجام نشده باشد، مدیر شبکه باید به صورت دستی، حساب کاربری را فعال نماید.
مقداری که برای این Policy توصیه می گردد، به 15 دقیقه یا بیشتر می باشد.
Rationale
حساب کاربری افراد در صورتی که چندین بار به صورت تصادفی، کلمات عبور اشتباه وارد نمایند، مسدود خواهد شد. برای کاهش وقوع چنین مشکلاتی، تنظیمات Policy مربوط به Reset Account Lockout Counter After تعیین می کند که چند دقیقه باید سپری شود قبل از اینکه دنبال کننده تلاش های برای ورود ناموفق و شمارنده آن به عدد صفر برگردد.
Audit
به مسیر بیان شده در بخش Remediation رفته و اطمینان حاصل کنید که مطابق دستورالعمل، تنظیم شده باشد.
Remediation
برای انجام پیکربندی توصیه شده به مسیر زیر از طریق Group Policy رفته و مقدار به 15 دقیقه یا بیشتر را برای آن تنظیم نمایید:
Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after
Impact
در صورتی که این Policy را پیکربندی نکرده و یا مقدار آن را خیلی طولانی قرار دهید، ممکن است یک حمله DoS رخ دهد. یک نفوذگر می تواند به طرز مشکوکی سعی کند تا بارها و بارها به حساب کاربری هر فرد وارد شده و این حساب ها را مانند آنچه در پاراگراف های پیشین توضیح داده شده، مسدود نماید. اگر Policy مربوط به Reset Account Lockout Counter After را پیکربندی نکرده باشید، مدیر شبکه می بایست کلیه حساب های کاربری را به صورت دستی فعال نماید.
اگر عدد دقایق مربوط به این Policy به صورت معقولی تنظیم شده باشد، حساب های کاربر پس از تعدادی تلاش ناموفق، برای مدت زمان مشخصی مسدود شده و پس از آن به صورت خودکار فعال خواهند شد.
کاربران باید از مدت زمانی که حساب کاربری آن ها در صورت ورود کلمات عبور نادرست مسدود می ماند، اطلاع داشته باشند تا در صورت نیاز به دسترسی سریع به حساب کاربری خود، به بخش Help Desk تماس حاصل نمایند.
Default Value
مقدار پیش فرض این Policy تنظیم نشده است زیر این Policy فقط هنگامی که Policy مربوط به Account Lockout Threshold فعال باشد، معنی خواهد داشت. در صورتیکه Policy مربوط به Account Lockout Threshold را تنظیم می نمایید، مقدار Policy جاری به صورت خودکار به 30 دقیقه تنظیم خواهد شد.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
