4 votes

MarkPowell avatar

Mes tentatives de mot de passe échouées auprès de différents contrôleurs de domaine sont-elles cumulatives ?

Demandé el 27 de Août, 2015
Quand la question a-t-elle été
1669 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Si j'ai deux contrôleurs de domaine (DC) dans mon environnement et que deux ordinateurs différents sont utilisés pour se connecter aux contrôleurs de domaine distincts, le nombre de tentatives de mot de passe peut-il être dépassé ?

En outre, le mécanisme de réinitialisation fonctionne-t-il de la même manière ?

Exemple pour plus de clarté : La limite de verrouillage de mon mot de passe est fixée à cinq tentatives.

  • L'ordinateur 1 tente de se connecter à DC1 - sans succès.
  • L'ordinateur 1 tente de se connecter à DC1 - sans succès.
  • L'ordinateur 1 tente de se connecter à DC1 - sans succès.

Et

  • L'ordinateur 2 tente de se connecter à DC2 - sans succès.
  • L'ordinateur 2 tente de se connecter à DC2 - sans succès.
  • L'ordinateur 2 tente de se connecter à DC2 - sans succès.

Ce compte est-il maintenant verrouillé ?

Note : L'ordinateur 2 a été ajouté pour plus de clarté. La même situation pourrait se produire en cas de détresse du réseau avec un seul ordinateur.

Demandé el 27 de Août, 2015 par MarkPowell

Réponses

Trop de publicités?

5voto

Reaces avatar
Reaces Points 5517

Oui, le compte sera verrouillé.

Comme le documente le Gestion avancée de la réplication documentation :

Le verrouillage du compte est une fonction de sécurité qui fixe une limite au nombre de tentatives d'authentification échouées qui sont autorisées avant que le compte ne soit "verrouillé" pour une nouvelle tentative de connexion, ainsi qu'une limite de temps pour la durée du verrouillage.
Dans Windows 2000, le verrouillage des comptes est répliqué de manière urgente au propriétaire du rôle d'émulateur du contrôleur de domaine primaire (PDC), puis il est répliqué de manière urgente aux suivants :

  1. Contrôleurs de domaine du même domaine qui sont situés sur le même site que l'émulateur PDC.

  2. Les contrôleurs de domaine du même domaine qui sont situés sur le même site que le contrôleur de domaine qui a géré le verrouillage du compte.

  3. Contrôleurs de domaine du même domaine situés dans des sites qui ont été configurés pour permettre la notification des changements entre les sites (et, par conséquent, la réplication urgente) avec le site qui contient l'émulateur PDC ou avec le site où le verrouillage du compte a été traité. Ces sites comprennent tout site inclus dans le même lien de site que le site qui contient l'émulateur PDC ou dans le même lien de site que le site qui contient le contrôleur de domaine qui a géré le verrouillage du compte.

De plus, lorsque l'authentification échoue sur un contrôleur de domaine autre que l'émulateur PDC, l'authentification est tentée à nouveau sur l'émulateur PDC. Pour cette raison, l'émulateur PDC verrouille le compte avant le contrôleur de domaine qui a traité la tentative d'échec de mot de passe si le seuil de tentative d'échec de mot de passe est atteint.

En résumé, étant donné que les tentatives d'obtention d'un mauvais mot de passe sont classées par ordre de priorité et que chaque tentative d'obtention d'un mauvais mot de passe fait l'objet d'une nouvelle tentative au niveau de l'émulateur PDC, votre compte sera verrouillé par tout contrôleur de domaine qui réplique correctement.

Il existe toutefois quelques exceptions qui peuvent vous permettre de dépasser le nombre de connexions autorisé :

  1. Environnements mixtes avec Windows NT Server 4.0 et contrôleurs de domaine Active Directory
  2. La saisie d'un mot de passe récent n'est pas augmenter le nombre de mauvais mots de passe
Répondu el 27 de Août, 2015 par Reaces (5517 Points )

3voto

Ryan Ries avatar
Ryan Ries Points 54671

Il est théoriquement possible pour un utilisateur de dépasser le nombre maximal de tentatives de connexion défini par la politique. (En particulier en utilisant les tentatives de changement de mot de passe).

Par exemple, disons que votre politique de verrouillage est de 5 mauvaises tentatives de connexion.

Un utilisateur peut tenter de se connecter 4 fois à DC1,

alors ils pourraient tenter 4 logins contre DC2,

et ne pas être verrouillé après la première tentative de connexion contre DC2.

De https://technet.microsoft.com/en-us/library/Cc772726(v=WS.10).aspx qui est une lecture essentielle pour tous les administrateurs AD :

Lorsqu'un mauvais mot de passe est utilisé lors d'une tentative de modification d'un mot de passe, le programme mot de passe, le compte de verrouillage est incrémenté sur ce contrôleur de domaine uniquement et n'est pas répliqué. Ainsi, un attaquant pourrait essayer (# de contrôleurs de domaine)*(seuil de verrouillage -1) + 1 guichet unique. contrôleurs de domaine)*(seuil de verrouillage -1) + 1 tentatives avant que le compte ne soit verrouillé. Bien que ce scénario ait un impact relativement faible sur la sur la sécurité du verrouillage des comptes, les domaines ayant un nombre exceptionnellement élevé de contrôleurs de de contrôleurs de domaine représentent une augmentation significative du nombre total de tentatives disponibles pour un attaquant. Parce qu'un utilisateur ne peut pas spécifier le contrôleur de domaine sur lequel le changement de mot de passe est le changement de mot de passe, une attaque de ce type nécessite un outil avancé.

Aussi ceci :

En outre, lorsque l'authentification échoue au niveau d'un contrôleur de domaine autre que autre que l'émulateur PDC, l'authentification est tentée à nouveau sur l'émulateur PDC. émulateur PDC. Pour cette raison, l'émulateur PDC verrouille le compte avant le contrôleur de domaine qui hante le compte. le contrôleur de domaine qui a traité la tentative de mot de passe erroné si la tentative de mot de passe erroné a été rejetée. bad-password-attempt est atteint.

Normalement, vous ne verrez pas un utilisateur ordinaire dépasser le seuil de verrouillage, mais il est possible de dépasser le seuil de verrouillage défini à l'aide d'un outil automatisé qui est rapide et peut dépasser la réplication AD.

Ce qu'il faut retenir ici, c'est que urgent la réplication ne signifie pas instantané la réplication.

Répondu el 27 de Août, 2015 par Ryan Ries (54671 Points )

0 votes

Avatar de Ryan Ries

@Reaces Vous n'utilisiez pas les bons outils :)

Commenté el 27 de Août, 2015 par Ryan Ries

0 votes

Avatar de Reaces

Donc, je suppose que vous voulez dire que vous pouvez jouer le système en faisant des réinitialisations de mot de passe ! Joli ajout, je ne le savais pas, mais je n'ai pas non plus interprété l'OP de la même façon que toi, il semble, +1 cependant !

Commenté el 27 de Août, 2015 par Reaces

0 votes

Avatar de Ryan Ries

@Reaces D'accord, je pense que j'interprète juste la question de l'OP pour qu'elle signifie ce que je veux qu'elle signifie afin que je puisse former une réponse intéressante, où intéressant = hacker toutes les choses. :)

Commenté el 27 de Août, 2015 par Ryan Ries

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X