none
riavvio pc dopo 3 errori di accesso RRS feed

  • Domanda

  • Salve,

         per questioni di security policy ho la necessità di effettuare una modifica al logon di windows (7/10) al fine di ottenere un riavvio del pc dopo 3 errori alla password di accesso.

    E' possibile implementare nativamente da windows questa policy?

    In caso ngativo, mi serve questa implementazione con questa modifica del logon di accesso (implementazione ad hoc) ufficiale. In caso mandate un'offerta economica.

    domenica 16 settembre 2018 09:26

Risposte

  • Non ho capito come avviene la riattivazione, ne le " le necessarie verifiche sulla rete" etc. etc. etc.

    Sarei curioso di sapere a quali necessità tale sistema deve rispondere, forse ci sono soluzioni meno contorte.

    Volendo hai almeno 4 possibilità (sono le prime che mi sono venute in mente)

    1. Modificare il processo di logon "customizzando" la GINA https://docs.microsoft.com/en-us/windows/desktop/secauthn/customizing-winlogon
    2. Programmare un servizio ad hoc che controlla i fallimenti del logon e al 3zo opera il raivvio
    3. Configurare il task scheduler per eseguire un batch che "conta" i fallimenti consecutivi (con auditing attivato) e opera il riavvio https://blogs.technet.microsoft.com/otto/2007/11/09/reference-the-event-that-triggered-your-task/
    4. powershell script, task schedulato all'avvio che monitora il fallimenti ed effettua il riavvio.

    -------------------------------

    La prima soluzione chiede competenze che poche volte ho incrociato… la seconda è abbastanza facile (un po' di programmazione è richiesta), la terza è ancora più semplice perché evita la creazione del servizio e utilizza solo tools sistema, quarta un po' esosa di memoria (powershell sempre attiva) ma si evita il batch

    Ciao Gastone

     


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    • Modificato GastoneCanali domenica 16 settembre 2018 15:08
    • Contrassegnato come risposta Damiano s domenica 16 settembre 2018 15:49
    domenica 16 settembre 2018 15:07

Tutte le risposte

  • Puoi configurare il blocco dell'account dopo un numero determinato di tentativi falliti. Una volta bloccato, l'utente non potrà venire utilizzato per l'accesso fino all'effettivo sblocco (automatico dopo un intervallo di tempo configurato o manuale).
    A mio parere il blocco dell'account è più sicuro del riavvio del computer, perché persiste fino all'effettivo sblocco ed è quindi un sistema adeguato per incrementare la protezione ad attacchi brute force delle password.

    https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings

    https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-policy
    domenica 16 settembre 2018 10:40
  • Salve,

           la ringrazio vivamente per la risposta tempestiva. Il 'riavvio del pc' serve per  riavviare  una virtual machine remota. Col riavvio la macchina virtuale caricherà un'immagine offline di default. In modo che al terzo errore la macchina al riavvio dovrà risultare totalmente offline. Poi dopo le necessarie verifiche sulla rete,  saranno due chiavi usb (remota e locale) che permetterà la rimessa online del "pc". Le chiavi usb sono  pronte, a meno del riavvio ai 3 tentativi. La documentazione inviata è interessante, e la ringrazio, ma ho necessità del riavvio, non del blocco. E' possibile tale configurazione?

    domenica 16 settembre 2018 14:22
  • Non ho capito come avviene la riattivazione, ne le " le necessarie verifiche sulla rete" etc. etc. etc.

    Sarei curioso di sapere a quali necessità tale sistema deve rispondere, forse ci sono soluzioni meno contorte.

    Volendo hai almeno 4 possibilità (sono le prime che mi sono venute in mente)

    1. Modificare il processo di logon "customizzando" la GINA https://docs.microsoft.com/en-us/windows/desktop/secauthn/customizing-winlogon
    2. Programmare un servizio ad hoc che controlla i fallimenti del logon e al 3zo opera il raivvio
    3. Configurare il task scheduler per eseguire un batch che "conta" i fallimenti consecutivi (con auditing attivato) e opera il riavvio https://blogs.technet.microsoft.com/otto/2007/11/09/reference-the-event-that-triggered-your-task/
    4. powershell script, task schedulato all'avvio che monitora il fallimenti ed effettua il riavvio.

    -------------------------------

    La prima soluzione chiede competenze che poche volte ho incrociato… la seconda è abbastanza facile (un po' di programmazione è richiesta), la terza è ancora più semplice perché evita la creazione del servizio e utilizza solo tools sistema, quarta un po' esosa di memoria (powershell sempre attiva) ma si evita il batch

    Ciao Gastone

     


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    • Modificato GastoneCanali domenica 16 settembre 2018 15:08
    • Contrassegnato come risposta Damiano s domenica 16 settembre 2018 15:49
    domenica 16 settembre 2018 15:07
  • Salve,

          purtroppo non posso definire le motivazioni della richiesta ne i dettagli per questioni di risevatezza industriale.

    Comunque rinnovo il ringraziamento riguardo il suo interessamento e per e sue puntuali risposte.

    L'implementazione scelta è il pt1.

    Lei sarebbe in grado di effettuare tale modifica al logon e realizzare una ISO modificata per l'installazione con tale protocollo? Se mi mandasse la sua email la contatto per definire la parte economica

    Distinti Saluti

    Damiano S


    • Modificato Damiano s domenica 16 settembre 2018 16:10
    domenica 16 settembre 2018 16:02
  • Penso che tu abbia frainteso lo scopo del forum TechNet. Qui non si trattano proposte commerciali, al massimo puoi provare a contattare direttamente Microsoft qui: https://support.microsoft.com/it-it/help/4051701/global-customer-service-phone-numbers (ma a mio parere le probabilità di ottenere una implementazione ad-hoc sono veramente molto basse).
    Inutile dire che qualsiasi modifica al sistema operativo operata da personale esterno a Microsoft può rappresentare una violazione dell'EULA del prodotto.
    domenica 16 settembre 2018 16:57
  • @damiano: se posso consigliarti l'opzione 2 è sicuramente molto più portabile, per capirci, sviluppi una soluzione che funziona sia con win7 che con win10, modificare la msgina comporterebbe un doppio  sviluppo.

    Creazione di servizi (i daemon del mondo unix) o "agganci" (hook) al processo di logon sono stati introdotti da Windows NT e a tutt'oggi supportati (esempi di codice per implementare tali funzioni sono presenti nel SDK). Conosco implementazioni del logon "custom" e di una anche il relativo sviluppatore (io seguii la parte sistemistica e di sicurezza)

    Come diceva Fabrizio, non facciamo proposte commerciali, ma contattarci è molto facile seguendo i link o cercando su internet...

    Ciao Gastone 


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    domenica 16 settembre 2018 21:20