アカウントのロックアウトは、サービス拒否攻撃の発生を待っていますか?
Windowsのデフォルトの動作は、認証の試行が何度も失敗した後(通常は3回)にアカウントをロックアウトすることです。
これは、次のことを意味します
Net Use \\targetmachine\c$ /user:targetaccount notthepassword
Net Use \\targetmachine\c$ /user:targetaccount notthepassword
Net Use \\targetmachine\c$ /user:targetaccount notthepassword
[このアカウントはロックアウトできません]がオンになっているアカウントがない場合は、ユーザーをロックアウトしたり、会社全体を停止したりすることもできます。
このセキュリティの「機能」は、本当にサービス拒否イネーブラーですか?そして、これはデフォルトで無効になっているはずです。
組織は、これが不正な従業員のシナリオに対して特に脆弱です。
これがデフォルトの動作であることを私は知りませんでした、そしてそれは間違いなく起こるのを待っているサービス拒否です。一時的なロックアウト(または単純なスローダウン)は、通常、ブルートフォース攻撃をかわすのに十分です(このトピックについては多くの議論がありますが、これを扱っているStackOverflowの質問をいくつか覚えていますが、Webサイトのログインの分野で詳しく説明しています)。はい、それらは潜在的なサービス拒否攻撃でもありますが、攻撃の期間中のみです。
私はDaveCheneyに完全には同意しませんが、物理的なセキュリティに関心があるはずですが、不満を持った従業員(大企業では小規模よりも問題になることが多い)と借りた(信頼できるハードウェア)ログイン画面だけでロックできます会社の重要な機能をダウンさせているので、それで十分だとは思いません。
はい、それは潜在的なサービス拒否攻撃です。そのため、Windows Server 2003セキュリティガイドのMicrosoftの推奨事項では、パスワードのロック解除が15分間に設定されています。 NSAは、パスワードロック解除の使用を実際に提案した最初の例であり、それはWindows2000の時代にさかのぼります。
ただし、パスワードのロックを解除している場合、問題は攻撃者がまだそこにいることです。つまり、攻撃者はパスワードを解読しようとする可能性があります(それが本当の目的である場合)。重要なのは、攻撃がどこから来ているのかを把握し、それをシャットダウンすることです。それが済んだら、スクリプトを実行してすべてのアカウントのロックを自動的に解除します。
それは潜在的なサービス拒否攻撃ですか?はい
無効にする必要がありますか?いいえ、信頼できないハードウェアをネットワークに侵入させる物理的なセキュリティの問題を確認する必要があります。
話しているWindowsのバージョンはわかりませんが、Windows 2003のデフォルトのドメインロックアウトしきい値は0に設定されています。これは、ロックアウトが有効になっていないことを意味します。