@long_skinny_boy

Как защитить Active Directory от подбора пароля с помощью сторонних приложений?

Добрый день, подскажите пожалуйста.
Как может быть устроена защита учетных записей в AD от подбора паролей, а именно например есть злоумышленник, который пытается подобрать пароль от пользователя. И делает он это допустим не просто при входе на компьютер, или же каким то ПО на компьютере, которое перебирает пароли.
А например, каким то веб-приложением, которое использует какой либо ldap модуль.
Тут вопрос в том, внутри AD есть какая то внутренняя политика безопасности (которые применяется не на клиентскую Windows машину), которая может отслеживать действия над учетными записями, и в случае допустим 5 неудачных попыток - блокирует учетку

Просто групповую политику находил с описанным выше, но ведь она применяется на Windows машину, а если пользователь скажем так подбирает пароль допустим с умного какого-нибудь холодильника
  • Вопрос задан
  • 209 просмотров
Пригласить эксперта
Ответы на вопрос 2
firedragon
@firedragon
Senior .NET developer
ад имеет политику по блокировке после нескольких неудачных входов.
так же есть Fail2ban и его аналоги для виндоуз в части iis, rdp https://alternativeto.net/software/fail2ban/?platf...
Ответ написан
Комментировать
@NortheR73
системный инженер
Хм...простого решения нет.
Такие задачи - это всегда комплекс бюрократических и технических мер, проактивных и реактивных, включая корпоративные стандарты безопасности, политики паролей, корректно настроенные фаирволы на входе в вашу сеть и между подсетями внутри, средства мониторинга сетевой активности, аудит действий администраторов и пользователей на разных сервисах (AD, почта, файловые и т.д.), регулярные задачи по проверке ключевых доменных групп, SIEM система для сбора и анализа активностей всей инфраструктуры и т.д.
Для примера:
Аудит доменных служб Active Directory в Windows Se...
Политики аудита изменений в Active Directory

Из простых действий:
- документы: корпоративная политика безопасности, правила работы в корпоративной сети и прочее; каждый пользователь знакомится с ними под роспись
- пользователь уровня Enterprise Admin и/или Domain Admin должен иметь несколько учетных записей, а УЗ с повышенными привилегиями использовать только для выполнения административных задач. В остальное время он работает с УЗ обычного пользователя
- административные УЗ со сложным паролем не менее 16 символов
- сервисные УЗ со сложным паролем не менее 20-25 символов, смена раз в год
- доменные политики паролей и блокировки УЗ
- доступ к критичным серверам (DC, почта, файловые и т.д.) разрешен только определенным пользователям, определенным подсетям/IP и т.д.
- аудит действий администраторов
- антиспам и антивирусы (файловые и почтовые)
- запрет использования внешних почтовых систем и облачных хранилищ (GMail, Yandex Disk и т.д.)
...

P.S. умный холодильник должен включаться только в одну сеть - электрическую 220В
Взлом и защита Active Directory
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы