Блокировка учетной записи


Архитектура системы безопасности предусматривает возможность блокирования учетной записи удаленного пользователя (account lockout). Эта возможность отменяет разрешение удаленного доступа для учетной записи пользователя после заданного числа неудавшихся попыток проверки подлинности. Путем конфигурирования механизма блокирования учетной записи администратор влияет на стойкость системы безопасности сервера удаленного доступа. Злоумышленники могут пытаться получить доступ к корпоративной сети путем подбора паролей в течение процесса аутентификации удаленного соединения. Подобные атаки, получившие название "словарных" (по причине использования специального словаря), предполагают отправку сотни, даже тысячи пар "имя-пароль" по списку, основанному на общих словах, именах или фразах.
Если активизировать механизм блокировки учетной записи, атака по словарю будет остановлена после заданного числа неудавшихся попыток. Администратор должен настроить две переменные, управляющие блокировкой учетной записи при удаленном доступе:

  •  число неудавшихся попыток до отмены разрешения удаленного доступа для учетной записи пользователя;
  •  частоту обнуления счетчика неудавшихся попыток (нужно периодически сбрасывать счетчик неудавшихся попыток, чтобы предотвратить длительную блокировку учетной записи из-за ошибок пользователя при наборе пароля).

Чтобы разрешить возможность блокировки учетной записи, нужно изменить параметры в системном реестре Windows Server 2003.

Помните, что некорректное изменение системного реестра может привести к нарушению работоспособности системы. Поэтому перед изменением системного реестра необходимо сделать его резервную копию.

В случае сервера удаленного доступа настройка механизма блокировки учетных записей осуществляется посредством изменения значений параметров реестра, расположенных в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout.
В этой ветви располагаются два параметра.

  •  Параметр MaxDeniais. Этот параметр определяет разрешенное количество неудачных попыток аутентификации. Для активизации механизма блокирования необходимо установить значение параметра MaxDeniais больше или равным 1. По умолчанию значение параметра MaxDeniais равно О, что означает запрет на блокировку учетной записи.
  •  Параметр ResetTime (mins). Данный параметр задает период времени (в минутах), по истечении которого сбрасывается счетчик неудачных попыток аутентификации. По умолчанию для параметра ResetTime (mins) установлено значение ОхЬ40 (2880 минут или 48 часов).

Описанные параметры создаются в реестре только после того, как администратор выполнил конфигурирование службы маршрутизации и удаленного доступа (Routing and Remote Access Service) в качестве сервера удаленного доступа.
Описанный выше способ конфигурирования режима блокирования учетных записей предполагает, что для аутентификации пользователей используется стандартная схема аутентификации. Если для аутентификации используется служба IAS и протокол RADIUS, настройка механизма блокировки учетных записей должна осуществляться при помощи групповых политик.