Bloqueio Glitch Workstation? (AD / Windows XP)

Navegue suas respostas
3

Eu estava jogando com uma configuração de laboratório recentemente (Windows 2003 R2 x32 SP2, Windows XP SP3, Active Directory) e notei que, se eu bloqueasse a estação de trabalho, o seguinte comportamento estranho aparecia:

  1. Eu tenho uma política de bloqueio que diz que uma conta é bloqueada após três tentativas inválidas. Ao tentar isso ao desbloquear a estação de trabalho, o estação de trabalho diz corretamente o conta é bloqueada após três inválido tentativas, mas me deixa continuar tentando senhas . Se eu eventualmente digite a senha correta, desbloqueia a estação de trabalho.

  2. Se eu alterar a senha do usuário enquanto a estação de trabalho está bloqueada, ambos a senha antiga e a nova desbloquearão a estação de trabalho.

  3. Se eu desabilitar a conta do usuário enquanto a estação de trabalho está bloqueada, eles podem ainda efetue login e continue acessando recursos.

Este comportamento está correto ou é apenas um bug na minha configuração? Quaisquer sugestões sobre como atenuar este problema?

O vetor de ataque para explorar o número 1 seria se o hacker tivesse uma lista fixa de cerca de 200 possíveis senhas baseadas em combinações de aniversário do usuário, nomes de crianças, qualquer coisa. Eles então tentam cada uma dessas senhas, por sua vez, para ver se estão certas (talvez usando um teclado USB para automatizá-las).

Como eles não são bloqueados após três tentativas, eles podem continuar tentando até obter a senha. Uma vez que eles tenham a senha, eles apenas aguardam o usuário desbloquear sua conta pelo administrador, então eles podem fazer o login como usuário.

O problema com # 2 e # 3 seria se, digamos, alguém fosse demitido e você quisesse impedi-los de levar arquivos com eles, e desativasse a conta deles / alterasse a senha, eles ainda poderia acessar os arquivos se a estação de trabalho estivesse bloqueada (ou presumo que eles já estivessem conectados ao computador).

    
por Adam Brand 30.07.2009 / 18:15

3 respostas

3

Eu não acredito que isso seja um bug.

A diferença é que a política de bloqueio de conta se aplica a novas sessões com nova autenticação e login sob circunstâncias padrão.

No caso de uma estação de trabalho bloqueada, já existe uma sessão ativa e autenticada na caixa.

Isso aparentemente pode ser alterado pela configuração de registro "ForceUnlockLogon". Ao alternar isso, é necessário desbloquear uma estação de trabalho para obter uma nova autenticação do controlador de domínio e, assim, evitar o uso de credenciais armazenadas em cache antigas.

No caso de uma conta LOCAL bloqueada na estação de trabalho, você pode adicionar o seguinte valor do registro em HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ policies:

DisablePasswordCaching DWORD 00000001

O Quick googling apareceu neste artigo pela MS na sysoptools: link

Ele contém detalhes relacionados a logons, política de bloqueio de conta e discussões sobre configurações que podem ser usadas.

Observação adicional re: # 3 (também abordada no documento vinculado): um usuário bloqueado ainda pode obter acesso se o seu bilhete kerberos ainda válido não tiver expirado.

    
por 30.07.2009 / 19:38
0

2 coisas que eu acho: "desbloquear estação de trabalho" não é realmente um logon, e as credenciais em cache estão desempenhando seu papel aqui. Mas eu concordo, é estranho e é algo que eu estou pensando que preciso conferir também.

    
por 30.07.2009 / 19:26
0

O bloqueio pode ter um limite de tempo? Esta é uma configuração de política de grupo também e pode ser definida, então o que você pensa é que sua senha eventualmente funciona, mas na verdade a conta é desbloqueada automaticamente e você digita a senha correta?

Em relação ao número 3, acredito que haja uma maneira de listar os logins de domínio ativos atuais, embora eu tenha que pesquisar isso. Então, quando você encerrar alguém, poderá inicializá-lo no sistema, desabilitar a conta deles e estará seguro.

    
por 30.07.2009 / 19:38

Tags

Outro benefício do Lighttpd na frente do Apache sua abordagem para conjuntos de regras complexas do iptables