SLY*_*SLY 4 active-directory brute-force-attacks groups exchange-2010 user-accounts
我想通过Exchange 2010保护Outlook Web Access免受使用帐户锁定的蛮力攻击。
做这个的最好方式是什么?
我有以下组策略:
计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略\
如果您有合理的密码策略,那就足够了。如果人们可以拥有 的密码1,那可能会成为一个问题。
您已将密码限制为每 2 分钟强制使用 1 个密码。以这种速度猜测 7 个字符,所有数字密码平均需要 19 年的直接黑客攻击......这是一个非常糟糕的密码。
虽然 Chris S 说的是真的,但您已经对 DOS 攻击敞开了大门。我不能闯入你的帐户,但我可以永久锁定它们。我只是无限期地继续尝试错误的密码。每个用户每 2 分钟一次的错误尝试并不多。
你需要一些东西来监控你的日志是否有无效尝试,并最终在防火墙上阻止该 IP 地址一段时间。
如何设置高度依赖于您的基础设施(日志记录、防火墙等)和您的使用模式。例如,如果同一个 IP 地址对 2-3 个帐户进行了无效尝试,您可能需要阻止该 IP 几天。如果它是一个帐户,您可能只想在一个小时内完成 10 次无效尝试后阻止该 IP,持续两个小时。
| 归档时间: |
|
| 查看次数: |
7000 次 |
| 最近记录: |