Bloqueo malintencionado de cuentas por OWA
-
lunes, 28 de mayo de 2012 16:02
Desde fuera de nuestra organización, alguien intencionadamente está bloqueando cuentas de usuario. La forma de actuar es haciendo varios logons erroneos a traves de OWA. Una vez alcanzado el límite establecido la cuenta se bloquea. ¿Hay alguna forma de parar esto?
Saludos.
Todas las respuestas
-
martes, 29 de mayo de 2012 7:33
Si lo están haciendo de forma manual (es una persona) poco podrás hacer.... Únicamente podrías ampliar el número de intentos de login antes de bloquear la cuenta, con el fin que se canse de probar contraseñas.
Piensa que si lo haces, bajará el nivel de seguridad, así que para compensar, aplica una política de contraseñas más segura (símbolos, mayusculas, minusculas, etc...)
Saludos,
Albert- Propuesto como respuesta alpo56 martes, 29 de mayo de 2012 7:33
- Marcado como respuesta Eduardo PorteschellerMicrosoft Community Contributor, Moderator martes, 05 de junio de 2012 12:54
-
martes, 29 de mayo de 2012 7:57Gracias Albert. La cuestión es que lo quieren hacer no es entrar en el buzón sino bloquear el usuario.
-
martes, 29 de mayo de 2012 8:05Pues lo único que puedes hacer es ponerlo difícil aumentando el límite de logins erróneos...
Saludos,
Albert -
martes, 29 de mayo de 2012 8:25
Hola Tarro,
¿Has verificado el origen de estas peticiones desde tu Firewall? Sino quieres bajar el nivel de seguridad de bloqueo de cuentas de tu organización trata de averiguar el origen (IP) que está realizando los ataques brute force contra OWA y intenta banear el acceso HTTPS contra owa para ese origen.
Otra opción es configurar el account lockout duration, de manera que las cuentas se sigan bloquando al ejecutarse 'n' intentos fallidos, pero que estas se desbloqueen automáticamente en unos minutos. Puedes consultar como implementarlo -> http://technet.microsoft.com/en-us/library/cc758659(v=ws.10).aspx
Saludos.
- Propuesto como respuesta Eduardo PorteschellerMicrosoft Community Contributor, Moderator miércoles, 30 de mayo de 2012 12:53
- Marcado como respuesta Eduardo PorteschellerMicrosoft Community Contributor, Moderator martes, 05 de junio de 2012 12:54
-
martes, 29 de mayo de 2012 10:48
Gracias, Julio.
Efectivamente, he verificado las IP desde donde vienen las peticiónes y nunca se repiten. De he hecho en un mismo día pueden venir de varias IP.
Respecto a configurar el account lockout duration, por motivos de política de nuestra organización no lo puedo cambiar.
Saludos.
-
martes, 29 de mayo de 2012 11:06
Hola Tarro,
El caso es complicado, la combinación de seguridad ideal para evitar brute force attacks sobre OWA es una combinación de GPO settings a nivel account y Firewall.
A nivel GPO tienes el account threshold (3 en tu caso), el thresold counter y el lockout duration.
Tu política parece segura, según entiendo el problema es la gestión de desbloqueo de cuentas. En este caso, lo único que se me ocurre es que puedes desde tu Firewall activar algún sensor de DOS para prevenir estos brute foce y denegar el acceso al servicio.
Saludos.
Julio Rosua
PS: Entiendo que la política de la organización son bastante rígidas pero configurar el account lockout duration no supone un riesgo en seguridad, ya ique la cuenta volvería a activarse con las mismas condiciones de lockout en caso de brute force.
- Propuesto como respuesta Eduardo PorteschellerMicrosoft Community Contributor, Moderator miércoles, 30 de mayo de 2012 12:53
- Marcado como respuesta Eduardo PorteschellerMicrosoft Community Contributor, Moderator martes, 05 de junio de 2012 12:54
.png)
