Minhas tentativas de senha com falha para diferentes controladores de domínio são cumulativas?

4

Se eu tiver dois controladores de domínio (DCs) no meu ambiente e dois computadores diferentes forem usados para fazer login no controladores de domínio separados, as tentativas de senha podem ser excedidas?

Além disso, o mecanismo de redefinição funciona da mesma maneira?

Exemplo de clareza: My Password Lockout Limit está definido para cinco tentativas

  • O computador 1 tenta fazer login no DC1 - sem sucesso
  • O computador 1 tenta fazer login no DC1 - sem sucesso
  • O computador 1 tenta fazer login no DC1 - sem sucesso

e

  • O computador 2 tenta fazer login no DC2 - sem sucesso
  • O computador 2 tenta fazer login no DC2 - sem sucesso
  • O computador 2 tenta fazer login no DC2 - sem sucesso

Esta conta está bloqueada?

Nota: Computador 2 foi adicionado para maior clareza. A mesma situação pode ocorrer em tempos de problemas de rede com um computador.

    
por DarkSheep 27.08.2015 / 15:59

2 respostas

5

Sim, a conta será bloqueada.

Conforme documentado na documentação do Gerenciamento de replicação avançada :

Account lockout is a security feature that sets a limit on the number of failed authentication attempts that are allowed before the account is "locked out" from a further attempt to log on, in addition to a time limit for how long the lockout is in effect.
In Windows 2000, account lockout is urgently replicated to the primary domain controller (PDC) emulator role owner and is then urgently replicated to the following:

  1. Domain controllers in the same domain that are located in the same site as the PDC emulator.

  2. Domain controllers in the same domain that are located in the same site as the domain controller that handled the account lockout.

  3. Domain controllers in the same domain that are located in sites that have been configured to allow change notification between sites (and, therefore, urgent replication) with the site that contains the PDC emulator or with the site where the account lockout was handled. These sites include any site that is included in the same site link as the site that contains the PDC emulator or in the same site link as the site that contains the domain controller that handled the account lockout.

In addition, when authentication fails at a domain controller other than the PDC emulator, the authentication is retried at the PDC emulator. For this reason, the PDC emulator locks the account before the domain controller that handled the failed-password attempt if the bad-password-attempt threshold is reached.

Para resumir, como tentativas incorretas de senha são priorizadas e cada tentativa de senha incorreta também é tentada novamente no emulador de PDC, sua conta será bloqueada por qualquer controlador de domínio de replicação adequada.

No entanto, existem algumas exceções que podem permitir mais do que a quantidade atribuída de logins:

  1. Ambientes mistos com o Windows NT Server 4.0 e controladores de domínio do Active Directory
  2. A inserção de uma senha recente não aumenta a contagem de senhas incorretas
por 27.08.2015 / 16:13
3

É teoricamente possível que um usuário exceda o número máximo de tentativas de login definidas pela política. (Especialmente usando tentativas de alteração de senha.)

Por exemplo, digamos que sua política de bloqueio tenha 5 tentativas de login incorretas.

Um usuário pode tentar 4 logins contra o DC1,

eles podem tentar 4 logins contra o DC2,

e ainda não é bloqueado após a primeira tentativa de login incorreto no DC2.

A partir do link , que é uma leitura essencial para todo o AD administradores:

When a bad password is used in an attempt to change a password, the lockout count is incremented on that domain controller only and is not replicated. As such, an attacker could try (# of domain controllers)*(lockout threshold -1) + 1 guesses before the account is locked out. Although this scenario has a relatively small impact on account lockout security, domains with an exceptionally high number of domain controllers represent a significant increase in the total number of guesses available to an attacker. Because a user cannot specify the domain controller on which the password change is attempted, an attack of this type requires an advanced tool.

Também isso:

In addition, when authentication fails at a domain controller other than the PDC emulator, the authentication is retried at the PDC emulator. For this reason, the PDC emulator locks the account before the domain controller that handled the failed-password attempt if the bad-password-attempt threshold is reached.

Normalmente, você não verá um usuário comum todos os dias excedendo o limite de bloqueio, mas é possível exceder o limite de bloqueio definido com uma ferramenta automatizada que é rápida e pode superar a replicação do AD.

O principal argumento aqui é que a replicação urgente não significa replicação instantânea .

    
por 27.08.2015 / 16:13