Il block dell'account è un attacco di negazione di servizio in attesa di accadere?

Il comportmento predefinito di Windows è quello di bloccare un account dopo un certo numero di tentativi di authentication falliti (di solito tre).

Ciò significa che con quanto segue

net use \\targetmachine\c$ /user:targetaccount notthepassword net use \\targetmachine\c$ /user:targetaccount notthepassword net use \\targetmachine\c$ /user:targetaccount notthepassword 

Puoi bloccare un utente e potenzialmente anche abbattere un'intera azienda se nessuno degli account ha il controllo "Questo account non può essere bloccato".

È questa caratteristica di sicurezza "veramente una negazione dell'attenuatore di attacchi di serice?" E dovrebbe essere disabilitato per impostazione predefinita.

Un'organizzazione è particolarmente vunerable con questo allo scenario del dipendente scoraggiante.

  • ProFTPD: il significato del "TLS Verify Client" e "NoCertRequest" nella configuration TLS
  • Attacco DOS "lento post": come prevenire in IIS
  • Blocca l'attacco a forza brutale usando lastb e iptables
  • Ottenere rapporti di iniezione false di SQL
  • Quanto è grande il rischio di aprire il firewall di Windows 2008 per tutti i programmi e le porte per un determinato IP?
  • Sito sicuro di trasferimento dei file
  • Limite di process per l'utente in Linux
  • Affrontare gli attacchi HTTP w00tw00t
  • 4 Solutions collect form web for “Il block dell'account è un attacco di negazione di servizio in attesa di accadere?”

    Non sapevo che questo è il comportmento di default, ed è sicuramente un diniego di servizio in attesa di accadere. Il bloccaggio temporaneo (o il semplice rallentamento) è di solito sufficiente per contrastare gli attacchi di forza bruta (c'è molta discussione su questo argomento, posso ricordare alcune domande di StackOverflow che si occupano di questo, più nel field dei login di sito web però). Sì, sono anche un potenziale divieto di servizio, ma solo per la durata dell'attacco.

    Non sono d'accordo con Dave Cheney, mentre dovresti essere interessato alla sicurezza fisica, un impiegato disgustato (più spesso un problema alle grandi aziende rispetto a quello più piccolo) e un login-schermo di un prestito (fidato hardware) è tutto quello che serve per bloccare giù le funzioni vitali della società, quindi non credo che sia sufficiente.

    È un attacco potenziale di diniego di servizio, sì

    Dovresti disabilitarlo? No, dovresti esaminare il problema della sicurezza fisica che consente l'hardware non attendibile nella networking.

    Sì, è un attacco potenziale di diniego di servizio. Ecco perché le raccomandazioni di Microsoft nella Guida di sicurezza di Windows Server 2003 hanno la sbloccatura della password impostata per 15 minuti. NSA è stata la prima che ho visto per proporre veramente utilizzando la password di sblock, e questo è tornato nei giorni di Windows 2000.

    Tuttavia, se si dispone di una password di sblock, il problema è che l'aggressore è ancora là fuori, il che significa che l'aggressore può ancora tentare di rompere le password (se questa è la vera intenzione). La chiave è scoprire where sta arrivando l'attacco e chiuderlo. Una volta che hai fatto questo, eseguire uno script per sbloccare automaticamente tutti gli account.

    Non so quale versione di Windows stai parlando, ma Windows 2003 ha la soglia di block di dominio predefinita impostata a 0, il che significa che i blocchi non sono abilitati.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.