我想设置虚拟目录(在IIS6中)的基本身份validation。 看起来好像恶意用户可以使用对话框(uid / pwd challenge)尝试使用域帐户login,并通过失败的尝试来locking该帐户(这样可以locking用户和服务帐户,这是不好的)。 有没有办法解决这个问题? 我尝试将默认域设置为本地计算机,并使用非AD帐户,但这没有帮助。
感谢提前!
你应该尝试这个插件: http : //www.iis.net/download/DynamicIPRestrictions它会dynamic阻止IP失败后login的次数。
这个问题适用于任何系统,Windows或其他。 我可以创build一个简单的程序来封锁组织中每个AD域的每个帐户,这个影响将是巨大的,而且从这样的攻击中恢复将是非常困难的。 唯一需要的是用户名/域的列表,任何loginnetworking的人都可以使用。
简而言之,如果你的密码太弱,以至于可能被强制,那么问题就不在于帐号locking了。
以下是来自微软不同来源的一些观点:
“错误密码阈值设置太低:这是最常见的错误configuration问题之一。许多公司将”错误密码阈值“registry值设置为低于默认值10的值。如果将此值设置得过低,则会发生错误locking当程序自动重试无效的密码时,Microsoftbuild议您将此值保留为默认值10。
疑难解答帐户locking
http://technet.microsoft.com/en-us/library/cc773155%28v=ws.10%29.aspx
我应该如何设置帐户locking?
“你应该把它关掉,账号locking是一个function,在一定数量的密码尝试login后锁住一个账号,它被devise用来保护计算机免受弱密码的攻击,问题在于弱密码最终会无论帐号被locking,都会受到攻击,聪明的攻击者只需简单地修改攻击,不会触发帐号locking,弱密码在抵制帐号locking时会抵御较长的攻击时间,仍然最终被打破。“
“此外,帐户locking使得一个不太复杂的攻击者完全禁用计算机变得微不足道,一个简单的batch file可以用来locking计算机上的每个帐户,从而削弱计算机的安全。帐户locking,同时devise用于防止弱密码,而是创造一个条件,在这种情况下,可能出现微小的拒绝服务攻击。“
有关密码的常见问题
http://technet.microsoft.com/en-us/library/cc512606.aspx
有一个用户帐户被locking,因为恶意用户很烦人。 有一个用户帐户由于恶意用户的攻击是相当糟糕的。
处理这个问题的更好方法是制定一项政策:
这样你就可以防止恶意的人暴力破解你的密码,并且不会打扰太多合法的用户锁住他的账户。
服务帐户不应该能够通过您的Web服务login,但应限制为仅logging为任务或服务(这也是使用GPO设置的)。