我最近在玩一个实验室设置(Windows 2003 R2 x32 SP2,Windows XP SP3,活动目录),并注意到如果我locking了工作站,出现以下奇怪的行为:
我有一个locking政策,说三个无效尝试后帐户被locking。 当解锁工作站时试图解决这个问题时,工作站正确地说在三次无效尝试之后帐户被locking,但是它让我继续尝试密码 。 如果我最终input正确的密码,它将解锁工作站。
如果在工作站被locking时更改用户的密码,旧密码和新密码都将解锁工作站。
如果在工作站被locking时禁用用户的帐户,他们仍然可以login并继续访问资源。
这是行为正确还是只是我的设置中的错误? 任何关于如何缓解这个问题的指针?
如果黑客拥有基于用户的生日,孩子名字等任意组合的可能密码大约200个的设置列表, 攻击向量将被利用#1 。 然后,他们尝试每个密码,看看他们是否正确(也许使用USB键盘楔自动化)。
因为三次尝试后都没有locking, 所以可以继续尝试,直到获得密码。 一旦他们有了密码,他们只需等待用户获得他们的帐户解锁的pipe理员,然后他们可以login为用户。
#2和#3的问题是,如果有人刚刚被解雇,并且想阻止他们带走文件,并且禁用了他们的账户/更改了他们的密码,他们仍然可以在工作站被locking的情况下访问这些文件(或者我假设他们是否已经login到他们的电脑)。
我不相信这是一个错误。
不同的是,帐户locking策略适用于在默认情况下使用新的身份validation和login的新会话。
在locking工作站的情况下,已经有一个活动的login会话。
这显然可以通过“ForceUnlockLogon”registry设置进行更改。 切换此操作需要工作站解锁才能从DC重新授权,从而避免使用旧的caching凭证。
在工作站中LOCALlocking帐户的情况下,可以将以下registry值添加到HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ policies中:
DisablePasswordCaching DWORD 00000001
快速谷歌search通过在系统工具MS上打开本文: http : //www.sysoptools.com/support/files/Account%20Passwords%20and%20Policies%20In-Depth.doc
它具有login,帐户locking策略以及可以发挥的设置讨论的相关细节。
其他注意事项:#3(链接文件中也有介绍):如果仍然有效的kerberos票据没有过期,locking的用户仍然可以访问。
2我的身材:“解锁工作站”实际上不是一个login,caching的凭据在这里扮演着自己的angular色。 但我同意,这是奇怪的,这是我想我也需要检查出来的东西。
locking可能有时间限制? 这是一个组策略设置也可能会被设置,所以你认为你的密码最终工作,但实际上帐户只是自动解锁,然后你input正确的密码?
关于数字3,我相信有一种方法可以列出当前活动的域名login,但我必须研究这一点。 然后,当你终止某人,你可以从系统启动他们,禁用他们的帐户,你会很安全。