
اطمینان از تنظیم Account lockout duration به 15 دقیقه یا بیشتر (Scored)
پروفایل قابل اجرا:
Level 1 – Domain Controller
Level 1 – Member Server
توضیحات:
تنظیمات Policy مربوط Account lockout duration به مدت زمانی که باید از مسدود شدن حساب کاربری بگذرد تا این حساب مجدد فعال شود را تعیین می کند. مقدار تعیین شده برای این Policy بر اساس دقیقه می باشد. در صورتی که شما مقدار صفر را برای این Policy تنظیم نمایید، حساب کاربری تا زمانی که مدیر شبکه به صورت دستی آن را قعال ننماید، مسدود خواهد بود.
اگر چه ممکن است پیکربندی این Policy ایده خوبی به نظر برسد، به هر ترتیب، تنظیم آن، به احتمال زیاد تماس با بخش Help Desk را افزایش خواهد داد. کاربران باید از مدت زمانی که حساب کاربری آن ها در صورت ورود کلمات عبور نادرست مسدود می ماند، اطلاع داشته باشند تا در صورت نیاز به دسترسی سریع به حساب کاربری خود، به بخش Help Desk تماس حاصل نمایند.
امن سازی ویندوز سرور 2012 – بخش ششم
مقداری که برای این Policy توصیه می گردد، 15 دقیقه یا بیشتر می باشد.
Rationale
یک مهاجم می تواند با سوء استفاده از آستانه بسته شدن حساب کاربری، اقدام به تلاش برای ورود به یک حساب کاربری خاص با کلمات عبور نادرست نماید. این امر در واقع منجر به یک حمله انکار سرویس یا DoS می شود.
تنظیم این Policy وابسته به تنظیم Policy مربوط به Account Lockout Threshold می باشد که در بخش بعدی به آن اشاره خواهد شد. همچنین همانطور که در بخش توضیحات نیز به آن اشاره گردید، در صورتی که مقدار این Policy را برابر با صفر قرار دهید، حساب کابری تا زمانی که مدیر شبکه به صورت دستی آن را قعال ننماید، مسدود خواهد بود.
Audit
به مسیر بیان شده در بخش Remediation رفته و اطمینان حاصل کنید که مطابق دستورالعمل، تنظیم شده باشد.
Remediation
برای انجام پیکربندی توصیه شده به مسیر زیر از طریق Group Policy رفته و مقدار 15 دقیقه یا بیشتر را برای آن تنظیم نمایید:
Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Account Lockout Policy\Account lockout duration
Impact
اگرچه ممکن است ایده اینکه هیچگاه حساب کاربری به صورت خودکار، Unlock نگردد، به نظر خوب برسد، ولی چنین پیکربندی می تواند تعداد درخواست های ارسال شده به بخش Help Desk، برای باز کردن حساب های کاربری که به اشتباه مسدود شده اند را افزایش دهد.
Default Value
مقدار پیش فرضی برای این Policy تنظیم نشده است، زیرا این Policy تنها زمانی کاربرد خواهد داشت که بخش Account Lockout Threshold تنظیم شده باشد.
هنگامی که شما بخش Account Lockout Threshold را تنظیم می نمایید، ویندوز به صورت خودکار مقدار 30 دقیقه را برای این Policy تنظیم می نماید.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.