Средства защиты системы удаленного доступа Microsoft
Блокировка учетной записи при удаленном доступе
Функция блокировки учетной записи при удаленном доступе используется для того, чтобы задать количество неудачных попыток подключения, не прошедших проверку подлинности, после которых пользователю будет отказано в удаленном доступе. Эта функция наиболее важна при работе с подключениями к виртуальной частной сети через Интернет. Злоумышленники могут попытаться получить доступ из Интернета к внутренней сети организации, отправляя учетные данные (имя пользователя и предполагаемый пароль) во время процесса проверки подлинности VPN-подключения. При атаке с подбором паролей по словарю злоумышленник посылает тысячи вариантов учетных данных, используя список паролей на основе распространенных слов или фраз. При использовании функции блокировки учетной записи при удаленном доступе такая атака будет пресечена после определенного числа неудачных попыток подключения.
Функция блокировки учетной записи не различает злоумышленников, пытающихся получить доступ к интрасети, и доверенных пользователей, которые просто забыли свой текущий пароль. Пользователи, которые забыли свой текущий пароль, обычно пытаются использовать старые пароли, которые они смогут вспомнить. Это может привести к блокировке их учетных записей.
Если Вы включите функцию блокировки учетной записи при удаленном доступе, злоумышленник может намеренно заблокировать учетную запись пользователя путем многократных попыток подключения с использованием этой учетной записи. Это приведет к тому, что доверенный пользователь не сможет подключиться.
Сетевой администратор может настроить два параметра функции блокировки учетной записи при удаленном доступе:
- Число неудачных попыток подключения, после которого происходит блокировка.
После каждой неудачной попытки подключения увеличивается значение счетчика блокировки. Если это значение достигает заданного максимума, дальнейшие попытки подключения отклоняются.
Счетчик блокировки обнуляется после успешной проверки подлинности, если его значение не достигло заданного максимума.
- Периодичность сброса значений счетчика блокировки.
Вы должны периодически обнулять счетчик блокировки, чтобы предотвратить блокировку учетной записи из-за невнимательности пользователей при наборе паролей.
Функция блокировки учетной записи при удаленном доступе настраивается путем изменения параметров реестра Windows 2000 на компьютере, выполняющем проверку подлинности. Если сервер удаленного доступа использует для проверки подлинности встроенные службы Windows, измените параметры реестра на компьютере сервера удаленного доступа. Если сервер удаленного доступа использует для проверки подлинности RADIUS и службу IAS Windows 2000, измените параметры реестра на компьютере IAS-сервера. Для получения дополнительной информации обратитесь к справке Windows 2000 Server.
Примечание
Функция блокировки учетной записи при удаленном доступе не связана с параметром Заблокировать учетную запись (Account locked out) на вкладке Учетная запись (Account) свойств учетной записи пользователя, а также с администрированием политик блокировки учетной записи через групповые политики Windows 2000.
Фильтрация пакетов для VPN-подключений удаленного доступа
В случае удаленных подключений к виртуальной частной сети VPN-сервер может быть подключен либо к Интернету, либо к сегменту сети между Вашей сетью и Интернетом, называемому сетью периметра, также известному как демилитаризованная зона (Demilitarized zone, DMZ) или экранированная подсеть. В обеих конфигурациях VPN-сервер удаленного доступа оказывается уязвимым для атак из Интернета, которые могут производиться злоумышленниками. Чтобы запретить на VPN-сервере удаленного доступа весь трафик, кроме трафика PPTP или L2TP/IPSec, на интерфейсе подключения к Интернету или на интерфейсе сети периметра VPN-сервера настраиваются фильтры IP-пакетов для трафика PPTP или L2TP/IPSec.
Когда Вы запускаете мастер установки сервера маршрутизации и удаленного доступа (Routing and Remote Access Server Setup Wizard) и выбираете конфигурацию Сервер виртуальной частной сети (VPN) (Virtual private network (VPN) server), эти фильтры настраиваются автоматически. Для получения дополнительной информации обратитесь к разделу "Настройка сервера удаленного доступа Windows 2000" этого документа.
Фильтры пакетов в профиле политики удаленного доступа
Политика удаленного доступа, задающая ограничения для подключений и проверки подлинности, может использоваться для настройки фильтров IP-пакетов, которые будут применяться к подключениям удаленного доступа. После того, как подключение принято, фильтры пакетов определяют типы IP-трафика, которые может передавать и принимать клиент удаленного доступа.
Эта функциональная возможность может использоваться для подключений к экстрасети. Экстрасеть – это часть сети организации, доступная пользователям за пределами этой организации (например, деловые партнеры и поставщики). Используя фильтрацию пакетов, настраиваемую в профиле политики удаленного доступа, Вы можете создать политику удаленного доступа, которая позволяет членам группы Партнеры получать доступ к веб-серверам только с определенных IP-адресов или же только из определенной подсети.