高级设置
阻止用户:
这里,你可以设置阻止在规定时间内未能通过安全问题验证的用户登录。
现在,一个问题就出现了:密码自助解决方案是帮助那些忘记密码的用户的,那么方案本身阻止用户和拒绝服务有什么用呢?
我们假设: 一个黑客使用一个字典破解程序攻击ADSelfService Plus,它将会以每秒300,000个密码组合进行破解,如果没有封锁机制,只要这个黑客知道(或猜到)你的域中一个有效的用户名,他将会有足够的时间和机会来破解账户的答案。因此,设置封锁机制可以防止此类事件发生。
封锁的最佳标准条件是什么?
这需要视你的具体情况而定。
对于活动目录封锁机制的标准:
低级: 封锁标准 – 不设置或设置超过10次尝试|封锁时间 – 0 (无封锁)
中级: 封锁标准 – 5次尝试失败|封锁时间 – 30 分钟
高级: 封锁标准 – 5次或少于5次尝试失败|封锁时间 – 根据管理需要设置时间
当然这只是一种指导标准,从多个客户端的反馈来看,最常用的配置是:
5次尝试失败30分钟封锁。
对于字典破解,几乎没有可能在5次尝试内破解答案。
注意:
电子邮件通知:
启用这些功能,无论何时用户的密码被重置或修改,账户被解锁,都会向他们发送通知邮件。
我们建议开启这些功能。
原因:当一个用户使用ADSelfService Plus重置密码的时候,软件本身将会向他的邮箱发送操作信息,如果是其他人意外编辑了它的密码,这个动作也可以看成一个告警。这种操作就像是信用卡公司或银行,当你刷卡的时候,他们会通知你刷卡信息。
我们建议: 使用这些功能!
常规
在用户重置密码或解锁账户之前,ADSelfService Plus将会要求他们进行CAPTCHA验证。它用来验证是否人为操作,排除自动登录程序访问的情况。
启用该功能会在这些页面上禁用CAPTCHA验证。
优点 |
缺点 |
这个功能可以阻止自动黑客程序攻击或执行拒绝服务。 |
用户可能会在不理解验证图片或输入错误的时候感到焦虑。 |
我们推荐: 不要启用它!大多数的用户不会对CAPTCHA验证感到不适。
启用这个功能将会在终端用户页面隐藏“个性化”页签。
.
自动化
功能: 域用户密码过期时自动重置该用户的密码
功能: 自动解锁域中已锁定的账户
就像这些名字表述的那样,这些功能会在网络中扫描逾期的密码或封锁的账户,为之提供一个解决方案。
这些功能是为学校和教育机构专门定制的,这些功能可以用于集体式的账户封锁或密码逾期。
我们在这里设置这些功能,你可以决定是否使用它它们。如果你认为这种功能对你来说并不适用,就不要启用它。如果你认为该功能有用,就启用它。
这个功能如何工作: 是实际上是一个计划表,你可以在你的域上配置一个扫描周期,在它的范围内,如果发现有封锁的账户,或者逾期的密码,它将会解锁账户
或重置密码。
说明:
这只是一个便捷的操作模块,当然,对我们来说这也是一个卖点。这是某些学校要求我们定制的功能。
我们推荐:如果你的环境不需要这些功能,请不要启用。
保密问题及答案的设置
推荐选择逐条显示安全问题,不要将它们一次全部显示出来。
答案设置:
推荐启用下面的选项:
防止用户使用相同答案回答多个问题
防止用户在答案中使用问题中的任何关键字
重置密码或解锁帐户时,所输入的安全保密问题的答案区分大小写
请不要以可逆加密方式存储安全答案。
在重置密码/解锁帐户操作过程中隐藏安全问题答案 (未决)
通常情况下:
不要“隐藏CAPTCHA”。
通知: 保持使用这些功能。
重置和解锁:在密码重置时解锁(未决)
不要 在你自动重置了用户密码后忘记通知他们在下次登录前修改他们的密码。
启用启用密码长度分析