鎖定工作站故障?(AD/Windows XP)
我最近在玩實驗室設置(Windows 2003 R2 x32 SP2、Windows XP SP3、Active Directory)並註意到如果我鎖定了工作站,就會出現以下奇怪的行為:
- 我有一個鎖定政策,規定帳戶在三次無效嘗試後被鎖定。在解鎖工作站時嘗試此操作時,工作站正確地說該帳戶在三次無效嘗試後被鎖定,但它讓我繼續嘗試密碼。如果我最終輸入正確的密碼,它將解鎖工作站。
- 如果我在工作站鎖定時更改使用者密碼, 舊密碼和新密碼都會解鎖工作站**。**
- 如果我在工作站鎖定時禁用使用者帳戶,他們 仍然可以登錄並繼續訪問資源。
這種行為是正確的還是只是我的設置中的錯誤?有關如何緩解此問題的任何指示?
利用#1 的攻擊向量將是,如果黑客根據使用者的生日、孩子的名字等的組合,擁有一組可能包含 200 個左右的可能密碼的列表。然後他們依次嘗試這些密碼中的每一個,以查看它們是否正確(可能使用 USB 鍵盤楔來自動化它)。
因為他們在嘗試三次後都沒有被鎖定,所以他們可以繼續嘗試直到獲得密碼。一旦他們有了密碼,他們只需等待使用者讓管理員解鎖他們的帳戶,然後他們就可以以使用者身份登錄。
#2 和 #3 的問題是,如果有人剛剛被解僱,而您想阻止他們隨身攜帶文件,並禁用他們的帳戶/更改他們的密碼,如果他們的工作站被鎖定,他們仍然可以訪問文件(或者我假設他們是否已經登錄到他們的電腦)。
我不相信這是一個錯誤。
不同之處在於帳戶鎖定策略適用於預設情況下具有新身份驗證和登錄的新會話。
在鎖定工作站的情況下,盒子上已經有一個活動的登錄會話。
這顯然可以通過“ForceUnlockLogon”系統資料庫設置進行更改。切換此設置需要解鎖工作站以從 DC 獲得重新身份驗證,從而避免使用舊的記憶體憑據。
對於工作站中鎖定的 LOCAL 帳戶,您可以將以下系統資料庫值添加到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies:
禁用密碼記憶體 DWORD 00000001
MS 在 sysoptools 上通過Google搜尋找到了這篇論文: http ://www.sysoptools.com/support/files/Account%20Passwords%20and%20Policies%20In-Depth.doc
它包含有關登錄、帳戶鎖定策略和可能發揮作用的設置的討論的詳細資訊。
附加說明:#3(也包括在連結的論文中):如果他們仍然有效的 kerberos 票證尚未過期,被鎖定的使用者仍然可以獲得訪問權限。