锁工作站故障?(AD/Windows XP)
最近,我正在处理一个实验室设置(Windows 2003 R2 x32 SP2、Windows XP SP3、Active Directory),注意到如果锁定工作站,就会出现以下奇怪行为:
- 我有一个锁定策略,它说一个帐户在三次无效尝试后被锁定。当解锁工作站时,工作站正确地表示帐户在三次无效尝试后被锁定,但允许我继续尝试密码。如果我最终输入正确的密码,它就会解锁工作站。
- 如果在工作站锁定时更改用户密码,则旧密码和新密码都将解锁工作站。
- 如果在工作站锁定时禁用用户帐户,他们仍然可以登录并继续访问资源。
这种行为是正确的,还是只是我的设置中的一个错误?对于如何缓解这个问题,有什么建议吗?
要攻击#1的攻击矢量是,如果黑客有一组可能的密码列表,这些密码是基于用户生日、孩子姓名等组合而成的。然后,他们依次尝试这些密码中的每一个,看看它们是否正确(也许使用USB键盘楔来实现其自动化)。
因为他们在三次尝试后没有被锁定,所以他们可以继续尝试,直到获得密码为止。一旦他们有了密码,他们只是等待用户获得他们的帐户被管理员解锁,然后他们可以作为用户登录。
第2和#3的问题是,比如说,有人刚刚被解雇了,而你想阻止他们带走文件,并禁用他们的帐户/更改密码,如果他们的工作站被锁定,他们仍然可以访问这些文件(或者如果他们已经登录到他们的计算机中)。
回答 3
Server Fault用户
发布于 2009-07-30 17:38:47
我不相信这是个虫子。
不同之处在于,帐户锁定策略适用于在默认情况下使用新的auth和登录的新会话。
在锁定工作站的情况下,盒子上已经有一个活动的登录会话。
这显然可以通过"ForceUnlockLogon“注册表设置进行更改。切换这需要一个工作站解锁才能从DC重新获得数据,从而避免使用旧的缓存凭据。
在工作站中锁定本地帐户的情况下,可以将以下注册表值添加到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies:中
DisablePasswordCaching DWORD 00000001
快速googling发现这篇论文是MS在sysoptools:http://www.sysoptools.com/support/files/Account%20Passwords%20and%20Policies%20In-Depth.doc上做的。
它包含有关登录、帐户锁定策略和讨论可发挥作用的设置的详细信息。
附加注re:#3 (也包括在链接文件中):如果仍然有效的kerberos票证尚未过期,被锁定的用户仍然可以获得访问权限。
Server Fault用户
发布于 2009-07-30 17:26:03
我想了两件事:“解锁工作站”实际上不是登录,缓存的凭据在这里发挥了作用。但我同意,这很奇怪,我想我也需要检查一下。
Server Fault用户
发布于 2009-07-30 17:38:02
封锁可能有时间限制?这也是一个组策略设置,并且可能被设置,所以您认为您的密码最终可以工作,但是实际上,帐户只是自动解锁,然后输入正确的密码?
关于第三个问题,我相信有一种方法可以列出当前的活动域登录,尽管我必须研究这个问题。然后,当你终止某人,你可以引导他们离开系统,禁用他们的帐户,你将是安全的。
https://serverfault.com/questions/48144
复制相似问题
腾讯云开发者
