Вопрос о блокировке учётной записи

[amarao_san]

С одной стороны, временная блокировка (минут на 15) учётной записи при 100+ попытках подбора пароля - правильное решение. Особенно для пользователей, у которых таки может оказаться "нехороший" пароль

Comments

[qehgt]

А можно ли сделать так, чтобы при попытках перебора паролей учётные записи блокировались только для удалённого доступа?

Т.е. удалённо залогиниться под "администратором" - нельзя, а локально - можно.

[amarao_san]

Вероятнее всего, нет. Да и не устраивает меня такое - если у меня будет локальный доступ к компьютеру, но не будет сетевого доступа к серверам - это уже не админство.

[ext_95147]

Эта привелегия есть у дефолтного админа, даже если его учетка блокируется (это можно сделать используя нестандартные настройки домена) то интерактивный вход на все контролеры домена ему не может запретить ничто

[ext_95147]

Учетная запись администратора созданная при создании AD не должна блокироватся при любом значении политики блокировки. По крайней мере так утверждалось в материалах от MS

[amarao_san]

Учётная запись администратора, созданная при создании AD (с именем Administrator) давным-давно умерла смертью храбрых.

[ext_95147]

Ну этим ты сам создал себе проблему возможности возникновения в твоем домене DoS атаки. Эта учетка важна, единственное "но" ее нужно не использовать для каждодневных работ. Ну и конечно должна иметь очень сложный пароль

[amarao_san]

Я не люблю, когда в домене есть дефолтная учётная запись администратора. А защита от ддоса решается (в минимальном виде) отдельным OU с отключенной автоблокировкой.

[ext_95147]

Вариант два нежизнеспособен, политика блокировки учетной записи едина на весь домен. И работает та что привязана к корню домена

[amarao_san]

Точно? А я вот сейчас проверю....

[amarao_san]

Хм. Интересно. Поставил энфорснутую групповую политику с блокировкой со второй попытки. Не блокирует... Пошёл читать...

[amarao_san]

как интересно... в симуляции:

Denied GPO's

test policy domain.ru\Admin-test Empty.

GPO содержало только записи о account policy...

[easyjohn]

может быть проще - поднять бдц, машине с бдц разрешить любые коннекты только с дц и с твоей машиной. лучше средствами влана или жестким фаирволом.

[amarao_san]

бдц получит от обычных DC информацию о том, что учётка блокирована. И всё.

Вопрос о блокировке учётной записи

[anonymous]

При попытке завести хост FreeBSD 7.2 (Samba 3.0.35)в домен с учеткой админа 2003 домена- учетка оного админа залочилась без объявления войны...при входе по учётке второго админа домена (с неправильным паролем) уже на сам сервер- залочилась и эта учётка...при том, что в политиках- блокировка 5 попыток/10 мин/10 мин. Ни через 10, ни через час ни одна админская учётка не разлочилась...Спасло то, что недавно был случайно создан еще один админ с нужными правами в домене. Реально- те две админские учетки были disabled...

Re: Вопрос о блокировке учётной записи

[anonymous]

***
маленькая поправка- не отключена, и именно залочена!
сервер- 2003 sp2 CR2 STD. Кстати, пару раз админские учетки до этого случая тоже блокировались...

Re: Вопрос о блокировке учётной записи

[amarao_san]

Как говорят выше (я проверял) доменная учётная запись админа с SID==*-500 не может быть залочена по перебору паролей.

А самба, если речь про временный блок, вероятнее всего, ломилась с указанными учётками слишком часто.

Re: Вопрос о блокировке учётной записи

[amarao_san]

Ну, я подозреваю, что тут что-то не так с настройками самбы. Аудит-то включен был для операций с учётными записями? Посмотри, кто залочил.