每天,系统管理员都有处理多个票证的艰巨任务,其中许多是由用户提出的,这些用户在忘记或错误输入密码太多次时被锁定在帐户之外。解决这些锁定需要花费宝贵的公司时间和金钱,处理票证的平均成本几乎为 15 美元。* 对于组织来说,必须深思熟虑地配置其帐户锁定策略,以帮助减少锁定次数,同时不影响其网络安全。虽然不可能防止所有锁定,但实施这些最佳实践可以显着减少其数量。
帐户锁定持续时间取决于组织特定的信息,例如用户计数或行业类型。将持续时间设置为零将通过锁定帐户直到管理员解锁来确保帐户的安全。但是,这也会导致对技术支持的过多请求。 建议持续时间在 30 到 60 分钟之间
如果帐户锁定阈值设置得太低,则意外锁定将频繁发生。这还可能使帐户容易受到拒绝服务攻击,因为攻击者更容易故意输入错误的密码来锁定帐户。另一方面,如果阈值设置得太高,则成功进行暴力攻击的可能性会增加,因为攻击者有更多机会尝试猜测凭据。 建议的阈值为 15 到 50。
在计算“重置帐户锁定计数器后”的值时,组织需要牢记他们面临的安全威胁的类型和级别,并与求助台呼叫的成本相平衡。该值应该小于或等于帐户锁定时间。建议时间不超过30分钟。
应为具有不同安全级别的用户设置策略值的不同组合。这是通过活动目录(AD)中的细化密码策略功能实现的。对于低安全性用户,可以通过将阈值设置为零来禁用帐户锁定。对于高安全性用户(如管理员和管理员),帐户锁定持续时间应设置为零,因此锁定的帐户只能由管理员解锁。必须为这些用户设置较低的帐户锁定阈值,因为他们应记住密码并谨慎输入凭据。
95% 的网络安全漏洞是由人为错误引起的**组织可以通过定期进行网络安全意识培训来教育员工如何避免帐户锁定来减少这一数字。
用户行为分析 (UBA) 可用于检测用户帐户锁定活动中的异常峰值。当组织拥有大量员工并且无法跟踪每个用户的帐户锁定活动时,这会派上用场。
帐户锁定的主要原因是系统服务、计划任务或断开连接的终端会话使用过时的凭据。清除凭据管理器并重新启动计算机将解决大多数这些问题。
启用通知以获取有关高安全性用户帐户锁定的实时警报,这有助于更快地解锁这些帐户。使用可以运行脚本的第三方工具立即解锁高优先级锁定的帐户。
使用 AD 凭据的移动应用(例如 Outlook 和 Microsoft Exchange Server)也可能使用过时的凭据。用户必须保持警惕,并在两次或多次密码更改后更新其凭据。在 Windows Server 2003 及更高版本中,如果输入的密码是以前设置的两个密码之一,则不计为错误密码。