O bloqueio de conta é um ataque de negação de serviço esperando para acontecer?

6

O comportamento padrão do Windows é bloquear uma conta após várias tentativas de autenticação com falha (geralmente três).

Isso significa que com o seguinte

net use \targetmachine\c$ /user:targetaccount notthepassword
net use \targetmachine\c$ /user:targetaccount notthepassword
net use \targetmachine\c$ /user:targetaccount notthepassword

Você pode bloquear um usuário e até mesmo derrubar uma empresa inteira se nenhuma das contas tiver a opção "Esta conta nunca pode ser bloqueada" marcada.

Esse "recurso" de segurança é realmente uma negação do ativador de ataque do serice? E isso deve ser desativado por padrão.

Uma organização é particularmente vulnerável com isso ao cenário de funcionários desonestos.

    
por Bruce McLeod 12.05.2009 / 08:16

4 respostas

4

Eu não sabia que isso é um comportamento padrão, e é definitivamente uma negação de serviço esperando para acontecer. O bloqueio temporário (ou lentidão simples) geralmente é suficiente para afastar ataques de força bruta (há muita discussão sobre esse tópico, eu me lembro de algumas questões do StackOverflow lidando com isso, mais na área de logins de sites). Sim, eles também são uma possível negação de serviço, mas apenas pela duração do ataque.

Eu não concordo completamente com Dave Cheney, enquanto você deve se preocupar com segurança física, um funcionário insatisfeito (mais freqüentemente um problema em empresas maiores do que em menores) e uma tela de login emprestada (hardware confiável) é tudo leva para bloquear as funções vitais da empresa, então eu não acredito que seja suficiente.

    
por 12.05.2009 / 11:22
3

É um potencial ataque de negação de serviço, sim

Você deve desativá-lo? Não, você deve analisar o problema de segurança física que permite que hardware não confiável entre na sua rede.

    
por 12.05.2009 / 08:32
3

Sim, é um potencial ataque de negação de serviço. É por isso que as recomendações da Microsoft no Guia de Segurança do Windows Server 2003 têm o desbloqueio por senha definido por 15 minutos. A NSA foi a primeira que eu realmente propus a usar o desbloqueio por senha, e isso estava de volta aos dias do Windows 2000.

No entanto, se você tiver um desbloqueio por senha, o problema é que o invasor ainda está por aí, o que significa que o invasor ainda pode tentar violar senhas (se essa for a intenção real). A chave é descobrir de onde o ataque está vindo e desligá-lo. Depois disso, execute um script para desbloquear automaticamente todas as contas.

    
por 12.05.2009 / 15:36
0

Não sei de qual versão do Windows você está falando, mas o Windows 2003 tem o limite de bloqueio de domínio padrão definido como 0, o que significa que os bloqueios não estão ativados.

    
por 12.05.2009 / 14:46