اطمینان از تنظیم Account lockout threshold به 10 تلاش ناموفق برای لاگین یا کمتر
پروفایل قابل اجرا:
Level 1 – Domain Controller
Level 1 – Member Server
توضیحات:
تنظیمات این Policy تعداد لاگین ناموفق، پیش از اینکه حساب کاربری مسدود شود را مشخص می نماید. تنظیم عدد صفر برای این Policy، توصیه نمی شود زیرا این کار منجر به غیرفعال شدن قابلیت Account Lockout Threshold خواهد شد.
مقداری که برای این Policy توصیه می گردد، 10 تلاش ناموفق برای لاگین یا کمتر (به غیر از عدد صفر) می باشد.
Rationale
به کارگیری Policy مربوط به Account Lockout Threshold احتمال موفقیت حملات آنلاین Brute Force را کاهش می دهد. البته تنظیم این Policy به عددی بسیار پایین، مسدود شدن حساب کاربری به صورت تصادفی (با اشتباه کاربر) یا به صورت عمدی توسط کاربر بدخواه (نفوذگر) را در بر خواهد داشت.
Audit
به مسیر بیان شده در بخش Remediation رفته و اطمینان حاصل کنید که مطابق دستورالعمل، تنظیم شده باشد.
Remediation
برای انجام پیکربندی توصیه شده به مسیر زیر از طریق Group Policy رفته و مقدار 10 تلاش ناموفق برای لاگین یا کمتر (به غیر از عدد صفر) را برای آن تنظیم نمایید:
Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Account Lockout Policy\Account lockout threshold
Impact
در صورت فعال نمودن این Policy، حساب کاربری مسدود شده، تا زمان که مدیر شبکه آن را فعال ننماید یا مدت زمان تعیین شدن برای مسدود سازی به اتمام نرسد، قابل استفاده نخواهد بود. همچنین تنظیم این Policy ممکن است تماس با بخش Help Desk را نیز افزایش دهد.
امن سازی ویندوز سرور 2012 – بخش هفتم
در صورت اعمال این Policy، یک مهاجم می تواند با ایجاد عمدی تعداد زیادی ورود ناموفق برای چندین حساب کاربری، منجر به بروز یک حمله DoS گردد. بنابراین شما باید عدد مناسبی برای Policy مربوط به Account Lockout Duration تنظیم نمایید.
همچنین در صورت تنظیم عدد صفر برای این Policy، ممکن است یک نفوذگر با انجام یک حمله Brute Force قادر به شناسایی کلمات عبور باشد و در صورتی که قابلیت Audit در سیستم فعال نباشد، عمل وی به راحتی قابل شناسایی نمی باشد.
Default Value
مقدار پیش فرض این Policy برابر صفر تلاش ناموفق برای لاگین می باشد.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
