wake-up-neo.net

¿Está el bloqueo de la cuenta una denegación de ataque de servicio que espera a suceder?

El comportamiento predeterminado de Windows es para bloquear una cuenta después de una serie de intentos de autenticación fallidos (generalmente tres).

Esto significa que con lo siguiente.

Net Use \\targetmachine\c$ /user:targetaccount notthepassword
Net Use \\targetmachine\c$ /user:targetaccount notthepassword
Net Use \\targetmachine\c$ /user:targetaccount notthepassword

Puede bloquear a un usuario y potencialmente incluso para bajar una compañía completa si ninguna de las cuentas tiene la "esta cuenta nunca se puede bloquear" revisada.

¿Es esta "característica" de seguridad realmente una denegación del habilitador de ataque de serice? Y si esto se deshabilita de forma predeterminada.

Una organización es particularmente vunerable con esto al escenario de los empleados pícaros.

7
Bruce McLeod

Sí, es una posible negación de ataque de servicio. Es por eso que las recomendaciones de Microsoft en la Guía de seguridad de Windows Server 2003 tienen un desbloqueo de contraseña establecido durante 15 minutos. NSA fue el primero que vi para proponer realmente usando la desbloqueo de contraseña, y eso fue nuevamente en los Windows 2000 Days.

Sin embargo, si tiene un desbloqueo de contraseña, el problema es que el atacante aún está ahí afuera, lo que significa que el atacante aún puede intentar y agrietar las contraseñas (si es la verdadera intención). La clave es averiguar a dónde viene el ataque y apagarlo. Una vez que haya hecho eso, ejecute un script para desbloquear automáticamente todas las cuentas.

4
K. Brian Kelley

¿Es una posibilidad de negación de ataque de servicio, sí?

¿Debería deshabilitarlo? No, debe analizar el problema de seguridad física que le permiten a su red.

3
Dave Cheney