我想使用Exchange 2010保护Outlook Web Access免受使用帐户locking的暴力攻击 。
做这个的最好方式是什么?
我有以下的组策略:
计算机configuration\ Windows设置\安全设置\帐户策略\帐户locking策略\
如果你有一个合理的密码策略,这已经足够了。 如果人们可以有一个密码1 ,这可能会成为一个问题。
您已经评分限制暴力破解密码每2分钟1密码。 以这样的速度猜测一个7个字符,所有的数字密码平均需要19年的连续黑客…这是一个相当糟糕的密码。
虽然克里斯·S所说的是真实的,但你已经打开了自己的DOS攻击。 我不能破解你的账户,但我可以永久locking它们。 我只是继续做错误的密码尝试,无限期地。 每个用户一个坏的尝试,每2分钟就不多。
您需要监控您的日志以进行无效尝试,并最终在防火墙上阻止该IP地址一段时间。
如何设置高度依赖于您的基础设施(日志logging,防火墙等)和您的使用模式。 例如,如果相同的IP地址对2-3个帐户进行无效尝试,则可能需要阻止该IP几天。 如果只有一个帐号,那么只要在一小时内完成10次无效尝试,就可以阻止该IP两小时。