Windows Server 2012 - Bloqueio de conta
Estes as políticas são configuradas no GPO (Objetcs de Política de Grupo) disponível na rota: Configuração do Computador \ Políticas \ Configurações do Windows \ Configurações de Segurança \ Conta forte> Essas políticas devem ser estabelecidas no nível do domínio para que se apliquem ao nosso ambiente corretamente. Para o bloqueio de contas, temos uma série de políticas que nos ajude nessa tarefa, dentro de nosso ambiente de domínio Windows Server 2012 temos o seguinte:
- Conta duração do bloqueio: este é o tempo que a conta será bloqueada, por padrão, o tempo base é 30 minutos quando a política é ativada. Quando o valor é 0 indica que a conta será bloqueada até que um administrador prossiga com o desbloqueio.
- Limite para o bloqueio da conta: este elemento permite estabelecer o limite de tentativas de login erradas que uma conta pode tentar para ativar o bloqueio, quando ativado por padrão o valor é 5 tentativas, podem ser feitas no máximo 999 tentativas, essas tentativas devem ocorrer em um determinado período de tempo a ser contabilizado.
- Redefinir contador de tentativas errôneas: este elemento nos permite estabelecer o período de tempo em que incorreto tentativas de entrada com uma senha incorreta serão contadas.
Quando ativamos, isso nos traz um tempo padrão de 30 minutos, o que significa que se nosso limite de bloqueio de conta for 5 tentativas, estas devem ocorrer em menos de 30 minutos para que a conta seja bloqueada, agora caso o usuário faça as 5 tentativas em 31 minutos o bloqueio da conta não acontecerá pois o contador teria zerado no 31º minuto. Bloqueio de contas no mundo real No mundo real, um bloqueio de conta que dura 30 minutos é equivalente a um bloqueio que não expira, já que por natureza o usuário dá pouca atenção às políticas de segurança, mesmo que o administrador do sistema diga a ele milhares de vezes que uma vez que sua conta deve aguardar 30 minutos antes de retornar para fazer o login. Em um ambiente de trabalho, esses 30 minutos podem significar o atraso para o impressão de relatório para a gerência geral, para que os telefones do suporte técnico estejam sempre tocando. Para evitar isso, recomenda-se que o bloqueio seja de 1 minuto e especificado na tela com mensagem, neste minuto é o suficiente para evitar ataques de dicionário e força bruta, já que seria por ce os mecanismos de ataque aguardem um tempo em que o administrador possa estar ciente e tomar as medidas necessárias.