☰

Windows lietotāju kontu bloķēšana pēc vairākiem neveiksmīgiem pieslēgšanās mēģinājumiem

CERT.LV ik mēnesi turpina saņemt ziņojumus par nošifrētām sistēmām, kurām uzbrucēji piekļuvuši, izmantojot internetam atvērtrus servisus, tajā skaitā arī RDP (Remote Desktop Protocol).

Ja uz kādu no jūsu tīkla Microsoft Windows iekārtām ir atvērta RDP piekļuve, lūdzam ieviest automātisku lietotāju bloķēšanu gadījumos, kad tie veic vairākkārtīgus neveiksmīgus autentifikācijas mēģinājumus (skatīt instrukcijas zemāk).

Instrukcijas:

Veicot ieteikto konfigurāciju, Windows lietotāja konts tiks bloķēts pēc 10 neveiksmīgiem piekļuves mēģinājumiem un tiks automātiski atbloķēts pēc 15 minūtēm - tieši šādas vērtības ir norādītas  Microsoft vadlīnijās, bet tās iespējams pielāgot jūsu organizācijas/ iestādes vajadzībām, piemēram, atļaujot tikai piecus neveiksmīgus mēģinājumus.

Tas padarīs paroļu piemeklēšanu ievērojami lēnāku, kā arī sniegs iespēju piefiksēt "laušanas" aktivitāti auditācijas ierakstos.

Svarīgi (!!!):

  • Šī politika neattieksies uz domēna administratoru kontiem - tie nekad netiek bloķēti, neatkarīgi no nosacījumiem, lai novērstu situāciju, kad visiem lietotājiem ir liegta piekļuve sistēmai un nav neviena, kas kontus varētu atbloķēt ārkārtas situācijās.
  • Ja sistēmai aktīvi tiek veikti uzbrukumi, t.i. nepārtraukti tiek mēģināts piemeklēt lietotājvārdus/paroles, var izveidoties situācijas, kad lietotāji  nevar pieslēgties sistēmai, jo konti nepārtraukti tiek bloķēti. Tādos gadījumos nav cita risinājuma, kā apvienot vairākus no sekojošiem nosacījumiem:

         - IP adrešu baltais saraksts, no kurām drīkst veikt pieslēgumus, piemēram, tikai no Latvijas IP adrešu apgabaliem (tos visus var atrast šeit: https://www.nic.lv/lix );
         - iestatīt paroli ne mazāku kā 14 simboli;
         - atļaut izmantot RDP tikai ierobežotam lietotāju lokam;
         - izmantot divu faktoru autentifikāciju;
         - izveidot VPN un atļaut piekļuvi tikai no VPN tīkla.

Jautājumu vai neskaidrību gadījumā aicinām rakstīt uz cert .