Como configurar o bloqueio de contas

Como configurar o bloqueio de contas

Por Aaron Margosis  

Podemos recomendar uma configuração ideal para a maioria das definições  (settings)  existentes no nosso guia de segurança. Por exemplo, o privilégio da "depuração de programas (debug programs)" deve ser concedido aos administradores e a mais ninguém. No bloqueio de contas não existe uma configuração “única”. Cada organização deve determinar o que melhor atende às suas necessidades. Este blogpost tenta ajudar a resolver  os problemas,  as vantagens e desvantagens  de habilitar o bloqueio de conta e como efetivamente  aplicá-los. Nós tivemos que escolher algo  para servir como base, assim analizamos as configurações que selecionamos e porque a mudamos do que foi selecionado  em otras bases recentes. Mais uma vez, aqui  é um onde você deve olhar de perto e analizar as ameaças,  as vantagens e desvantagens para o seu próprio ambiente antes de aplicar as configurações que escolhemos.

Aspectos Básicos do Bloqueio de Contas

O objetivo do bloqueio de conta é dificultar um ataque bem sucedido daqueles que tentam adivinhar as senhas. Se o bloqueio da conta não está configurado, o invasor pode automatizar uma tentativa de logon em contas de usuário diferentes, tentando senhas comuns, bem como todas as combinações possíveis de oito caracteres ou menos em um período de tempo muito curto, até que um finalmente funcione. Quando bloqueio de conta é configurado, o Windows bloqueia a conta após um certo número de tentativas de logon sem sucesso, e bloqueia outras tentativas de logon mesmo se a senha correta é fornecida.

O bloqueio de contas do Windows  pode ser configurado destas três maneiras:

    • Limite de bloqueio de conta: é o número de tentativas sem sucesso de logon  que ativa o bloqueio de conta. Se for definido como 0, o bloqueio de conta é desativado e  as contas nunca são bloqueadas.
    • Duração do bloqueio de conta: o número de minutos que uma conta permanece bloqueada  antes que ela seja  desbloqueada automaticamente. Se for definido como 0, a conta permanecerá bloqueada até que um administrador  possa explicitamente destravá-la.
    • Redefinir o contador de bloqueio de conta depois de: o número de minutos após uma tentativa de logon sem sucesso, antes que contador seja reiniciado com o valor 0. 

O contador também é reiniciado após uma sessão bem sucedida.

Vantagens e desvantagens do bloqueio de contas

Enquanto o bloqueio de contas podem ajudar a evitar a intrusão, ele também pode expor sua empresa a bloqueios acidentais, bem como a ataques de negação de serviço.

Nem toda tentiva mal sucedida reflete uma tentativa de acesso não autorizado. Algumas vezes os usuários esquecem suas senhas. Além disso, os aplicativos, principalmente os que usam as senhas salvas, muitas vezes não percebem a alteração de senha e continuam a usar a senha antiga, às vezes automaticamente repetindo a mesma senha muitas vezes em um curto período de tempo. Isso se torna cada vez mais verdade à medida em que os usuários têm mais dispositivos, como telefones e tablets que faça o login para receber e-mail ou outros acesso à corpnet. Se o limite de bloqueio de conta for muito baixo, é muito provável que você veja muitos bloqueios acidentais. Para os  usuários que não estão sendo capazes de realizar o seu trabalho, os bloqueios podem criar  chamadas ao helpdesk que acabam se tornando caras, principalmente quando é necessária a intervenção do administrador para desbloquear a conta. Encontrar a causa raiz dos bloqueios acidentais pode ser demorado. Assim sendo,é bom definir um limite que evita travamentos acidentais, e não definir um limiar tão alto para que os invasores não tenham muito oportunidade de sucesso. Configurando o tempo de bloqueio com um  valor "razoável" que não seja zero, também pode reduzir as chamadas ao helpdesk. A combinação de threshold, a duração do bloqueio e redefinição das configurações determinam quantas suposições os invasores obtém por dia; o ideal é que você  os desencoraje até um ponto em que isso se torna impraticável ou, pelo menos, não valer a pena que prossiguam com este tipo de ataque.

Sempre que bloqueio de conta é configurado de maneira  fácil, um intruso pode realizar um ataque de negação de serviço e deliberadamente bloquear as contas. Não importa  se você definiu o limite de 5 ou 50 – um ataque automatizado pode realizar muitas tentativas de logon fracassados em um grande número de contas muito rapidamente, e bloqueá-las. Se a duração do bloqueio é muito curto, um invasor pode ainda manter um ataque sustentado, bloqueando as contas assim que elas se tornem desbloqueadas. Se a duração do bloqueio é indeterminado (0), isso pode ser desastroso.

Reduzindo ou eliminando a necessidade de Bloqueio de Conta

Se você empregar outras mitigações contra ataques de suposição de senhas, você pode se dar o luxo de definir um maior limite de travamento ou bloqueio de conta até mesmo desativá-las completamente. Alguns destes fatores atenuantes são os seguintes:

    • Monitorar pró-ativamente as falhas de eventos de logon e ter um mecanismo robusto de resposta já implementado para quando a suposição de senha for detectada.
    • Fazer a configuração do "smart card necessário para logon interativo" (SCRIL), e não manualmente definir uma senha para a conta. Quando SCRIL está configurado,  o hash da senha da conta é substituído por um valor aleatório, tornando o login efetivamente impossível. Quando SCRIL está configurado, portanto, o bloqueio de conta deve ser desativado para evitar a negação de serviço.
    • Exigir senhas longas. Um conjunto de oito caracteres nas senhas podem ser testados em um curto período de tempo. As políticas do Windows permite que você defina o tamanho mínimo de até 14 caracteres, que é o parâmetro que recomendamos. As senhas podem ser de até 256 caracteres, mas o Windows não permite que você demande mais que 14 caracteres sem um filtro de senha personalizada.
    • Exigir complexidade da senha. Requerer vários tipos de caracteres aumenta a probabilidade de que os usuários vão escolher senhas mais fortes. Observe, no entanto, que não garante que as senhas fortes: como por exemplo, “Password!”,  cumpre os requisitos de complexidade, mas pode facilmente ser decifrada.

As seleções Iniciais

Como disse no início, não há uma única configuração de bloqueio de conta que funcione para todas as organizações, e a nossa recomendação quanto ao bloqueio de conta é de considerar as vantagens e desvantagens e escolher o que é melhor para a sua situação. No entanto, o nosso Guia de Segurança inclui GPOs e modelos de políticas de segurança que você pode aplicar diretamente, e não é possível definir o limite de bloqueio de conta  com uma configuração pronta, onde você só faça o  “clique” como "escolha que for melhor para meu ambiente". Por isso temos de escolher algo.

As definições em nossa base são destinadas a grandes audiências. Reconhecemos que muitas organizações irão aplicar essas configurações sem ler as letras miúdas ou considerando as vantagens e desvantagens. Temos que tentar encontrar o equilíbrio certo de segurança com ponderação que vai funcionar razoavelmente bem para a maioria das organizações.

Temos um limite de 10 tentativas fracassadas, a 15 minutos de tempo de bloqueio, e o reset do contador após 15 minutos (10/15/ 15).  Este valor limiar é uma mudança do Windows 8.1 / Windows Server 2012 R2 beta do guia de orientação anterior.

O limiar que publicamos para o Windows 7 / Windows Server 2008 R2, foi a orientação de 50 tentativas fracassadas. Com 15 minutos de duração e 15 minutos para reset do contador, que deu aos invasores uma média de  200 suposições de senha por hora. Para o Windows 8 e Server 2012, tínhamos mudado para 5 , depois de muita discussão com a comunidade de segurança externa, incluindo o Centro para a Segurança na Internet (ICS), Agência Nacional de Segurança dos Estados Unidos (NSA), a Agência Defesa Sistemas de Informação  dos EUA (DISA) e outros. O pensamento naquele momento era que usuário típico  improvavelmente vai digitar sua senha incorretamente cinco vezes,  a menos que ele realmente não se lembre da senha, no caso, provavelmente precisará de chamar o helpdesk de qualquer maneira. Aumentamos o limite para 10 porque nossos engenheiros de suporte têm visto muitos bloqueios acidentais, principalmente com o aumento de dispositivos por usuário. O aumento do limite para 10 deve reduzir o número de bloqueios acidentais, e ao mesmo tempo não damos aos invasores a chance de 200 tentativas por hora.

Errata Técnica Bloqueio de Conta

A documentação pública pode não estar bem clara sobre estes pontos, então vale a pena saber:

  • Uma tentativa de logon usando uma conta com as duas senhas mais recentes que  não foram bem sucedidas, não aumentará o  contador do logins fracassados. Em outras palavras, o uso repetido de uma senha salva,  vai bloquear a conta somente após a terceira alteração de senha.

  • Tentativas fracassadas de desbloquear uma estação de trabalho pode causar o bloqueio de conta mesmo que a opção de segurança "logon interativo: exigir autenticação via controlador de domínio (DC) para desbloqueio de estação" esteja desativada. O Windows não precisa entrar em contato com um DC para desbloquear se você digitar a mesma senha com a qual você está conectado, mas se você digitar uma senha diferente, o Windows tem que entrar em contato com o DC no caso de você ter alterado a senha de outra máquina. É realmente fácil de bloquear uma conta em uma estação de trabalho travada em segundos apenas pressionando <Ctrl + Alt + Del> e, em seguida, pressionando a tecla <Enter>.

Original: http://blogs.technet.com/b/secguide/archive/2014/08/13/configuring-account-lockout.aspx