帐户锁定阈值
11/02/2018
本文内容
适用范围
Windows 10
介绍帐户锁定阈值安全策略设置的最佳方案、位置、 值和安全注意事项 。
参考
" 帐户锁定阈值 "策略设置确定将导致用户帐户锁定的登录尝试失败次数。 在重置锁定帐户之前,或者直到帐户锁定持续时间策略设置指定的分钟数过期,才能使用锁定帐户。 你可以设置一个从 1 到 999 次登录尝试失败的值,或者可以通过将该值设置为 0 来指定该帐户永远不会被锁定。 如果帐户锁定阈值设置为大于零的数值,则帐户锁定持续时间**** 必须大于或等于之后重置帐户锁定计数器的值。
暴力密码攻击可以自动尝试任意或所有用户帐户的数千甚至数百万个密码组合。 限制可以执行的失败登录数几乎消除了此类攻击的有效性。
但是,必须注意的是,可以在配置了帐户锁定阈值 (域上执行拒绝服务 (DoS) 攻击。 恶意用户可能会以编程方式尝试对组织中所有用户进行一系列密码攻击。 如果尝试次数大于帐户锁定阈值的值,攻击者可能会锁定**** 每个帐户。
尝试解锁工作站失败会导致帐户锁定,即使禁用了交互式登录 : 需要域控制器身份验证来解锁工作站安全选项。 Windows输入与登录时相同的密码,则无需联系域控制器进行解锁,但如果输入了其他密码,Windows 必须联系域控制器,以防从另一台计算机更改了密码。
可能值
可以配置帐户锁定阈值策略设置的 以下 值:
用户定义的号码从 0 到 999
未定义
由于在配置此值时和未配置此值时可能存在漏洞,因此组织应权衡已识别的威胁以及尝试缓解的风险。 有关这些设置的信息 ,请参阅本文 中的对策。
最佳做法
<