O IIS não; Windows faz. A menos que você tenha implementado um provedor de contas que não seja do Windows, uma tentativa básica de logon atingirá uma conta de usuário do Windows e funcionará em conjunto com a política de senha do Windows.
Estou fazendo uma análise de segurança de uma rede para um projeto universitário. Os servidores usam a autenticação básica do iis, integrada ao ssl. Agora estou considerando a possibilidade de um ataque de força bruta. Sei que uma boa política exige senhas complexas, troca senhas a cada poucos dias, etc .. mas tem um sistema que, após 5 tentativas erradas (por exemplo) bloqueiam a conta por 1 hora, ajuda a ter uma maior segurança contra esses ataques . O que eu peço é se existe esse tipo de proteção.
Obrigado
Para proteger contra ataques de força bruta, diminua a resposta em caso de autenticação malsucedida, use muito tempo para adivinhar senhas. Uso obrigatório SSL (https).
Hmmm ... alguma lógica circular acontecendo aqui. Você configurou seu site para usar autenticação básica, presumivelmente para autenticar os usuários que acessam o site e para manter usuários não autenticados, mas está bloqueando muitas tentativas de login? Não é esse o propósito da autenticação? Para permitir entidades autenticadas e proibir entidades não autenticadas?
Estou entendendo mal sua pergunta (provavelmente, com base em sua forma)? Você está perguntando se a autenticação básica é uma configuração padrão no IIS? Se assim for, a resposta é não.