none
GPO - Bloqueando usuários do AD por tentativas de acesso mal sucedidas RRS feed

  • Pergunta

  • Olá pessoal,

    Estou com dificuldades em aplicar uma GPO para efetuar o bloqueio dos usuários do AD ao ocorrer tentativas sem sucesso.

    A GPO está aplicando somente na conta do administrador local da estação de trabalho.

    Encontrei alguns artigos, porém sem sucesso.

    Se alguém conseguir me ajudar, obrigado!

    segunda-feira, 31 de outubro de 2016 23:30

Respostas

  • Kelver

    Você pode implementar a Diretiva de Bloqueio de Conta (Account Lockout Policy).

    Exemplo de uso:

    Alguém que tenta usar várias senhas sem êxito durante a tentativa de fazer logon no seu sistema, pode ser um usuário mal-intencionado que está tentando determinar uma senha de conta por tentativa e erro ou seja força bruta (Brute Force). A partir do Windows Server 2003, controladores de domínio podem ser configurados para responder a esse tipo de ataque desabilitando a conta por um período de tempo predefinido.

    Configurações de diretiva de bloqueio de conta controlam o limite dessa resposta e as ações a serem executadas quando o limite for atingido.

    .

    Exemplo de configuração:

    Você pode modificar a GPO Padrão do Domínio (Default Domain Policy), ou criar uma GPO específica para esta configuração, e vincular a nível de domínio.

    Neste exemplo após 3 tentativas de logon com a senha errada a conta fica bloqueada por 60 minutos, e desbloqueia automaticamente.

    Este é só um exemplo tem várias outras combinações que você pode configurar para atender as necessidades do seu ambiente.

    Referências e mais informações:

    https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx

    .


    Vladimir Faustino ITILv3 | MCP | MCTS | MTA



    • Editado VladimirFaustino terça-feira, 1 de novembro de 2016 00:18
    • Sugerido como Resposta Fabiano Mello terça-feira, 1 de novembro de 2016 11:29
    • Marcado como Resposta Thales F Quintas terça-feira, 1 de novembro de 2016 11:55
    terça-feira, 1 de novembro de 2016 00:17

Todas as Respostas

  • Kelver

    Você pode implementar a Diretiva de Bloqueio de Conta (Account Lockout Policy).

    Exemplo de uso:

    Alguém que tenta usar várias senhas sem êxito durante a tentativa de fazer logon no seu sistema, pode ser um usuário mal-intencionado que está tentando determinar uma senha de conta por tentativa e erro ou seja força bruta (Brute Force). A partir do Windows Server 2003, controladores de domínio podem ser configurados para responder a esse tipo de ataque desabilitando a conta por um período de tempo predefinido.

    Configurações de diretiva de bloqueio de conta controlam o limite dessa resposta e as ações a serem executadas quando o limite for atingido.

    .

    Exemplo de configuração:

    Você pode modificar a GPO Padrão do Domínio (Default Domain Policy), ou criar uma GPO específica para esta configuração, e vincular a nível de domínio.

    Neste exemplo após 3 tentativas de logon com a senha errada a conta fica bloqueada por 60 minutos, e desbloqueia automaticamente.

    Este é só um exemplo tem várias outras combinações que você pode configurar para atender as necessidades do seu ambiente.

    Referências e mais informações:

    https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx

    .


    Vladimir Faustino ITILv3 | MCP | MCTS | MTA



    • Editado VladimirFaustino terça-feira, 1 de novembro de 2016 00:18
    • Sugerido como Resposta Fabiano Mello terça-feira, 1 de novembro de 2016 11:29
    • Marcado como Resposta Thales F Quintas terça-feira, 1 de novembro de 2016 11:55
    terça-feira, 1 de novembro de 2016 00:17
  • Boa tarde Vladimir, 

    Preciso remover da política padrão do domínio para que possa aplicar a GPO em outras OU's?

    terça-feira, 1 de novembro de 2016 17:32
  • Kelver

    Você pode modificar a GPO Padrão do Domínio (Default Domain Policy), ou criar uma nova GPO específica para esta configuração, e vincular a nível de domínio.

    GPO Padrão do Domínio (Default Domain Policy) nunca deve ser removida.


    Vladimir Faustino ITILv3 | MCP | MCTS | MTA

    terça-feira, 1 de novembro de 2016 19:00