Хосты безопасности. Блокировка учетной записи.
Хост безопасности – устройство проверки подлинности сторонних производителей, которое проверяет, имеет ли вызывающий клиент удаленного доступа разрешение на соединение с сервером удаленного доступа. Эта проверка дополняет систему безопасности, предоставляемую сервером удаленного доступа под управлением Windows 2000.
Хост безопасности располагается между клиентом и сервером удаленного доступа. Хост безопасности предоставляет дополнительный уровень безопасности, требуя наличие некоторого аппаратного ключа для проверки подлинности. Проверка того, что клиент удаленного доступа владеет ключом, производится до подключения к серверу удаленного доступа. Эта открытая архитектура позволяет заказчикам выбирать из ряда хостов безопасности разных провайдеров для увеличения безопасности удаленного доступа.
Блокировка учетной записи
Блокировка учетной записи (Account Lockout) – еще одна отличительная особенность безопасности, которая отменяет разрешение удаленного доступа для учетной записи пользователя после заданного числа неудавшихся попыток проверки подлинности.
Можно использовать блокировку учетной записи, чтобы определить, сколько раз происходил сбой проверки подлинности удаленного доступа до того момента, как разрешение удаленного доступа для учетной записи пользователя будет отменено. Блокировка учетной записи особенно важна для удаленного доступа по VPN-соединению через Интернет. Сторонние пользователи злоумышленники из Интернета могут пытаться получить доступ к интрасети, посылая идентификационную информацию (настоящее имя пользователя и предполагаемый пароль) в течение процесса проверки подлинности VPN-соединения. При атаке с применением словаря пользователь-злоумышленник посылает сотни, даже тысячи пар "имя-пароль" по списку, основанному на общих словах, именах или фразах.
Если разрешить блокировку учетной записи, атака по словарю будет остановлена после заданного числа неудавшихся попыток. Сетевой администратор должен настроить две переменные, управляющие блокировкой учетной записи при удаленном доступе:
- Число неудавшихся попыток до отмены разрешения удаленного доступа для учетной записи пользователя.
- Частоту обнуления счетчика неудавшихся попыток (нужно периодически сбрасывать счетчик неудавшихся попыток, чтобы предотвратить длительную блокировку учетной записи из-за ошибок пользователя при наборе пароля).
Чтобы разрешить возможность блокировки учетной записи, нужно изменить параметры в системном реестре Windows 2000.
Предупреждение
Некорректное редактирование системного реестра может нарушить работоспособность системы. Перед изменением системного реестра нужно сделать его резервную копию.
Чтобы разрешить блокировку учетных записей, необходимо установить значение параметра MaxDenials больше или равным 1. По умолчанию MaxDenials=0 (блокировка учетной записи запрещена). Параметр MaxDenials – максимальное число неудачных попыток, произошедших до блокировки учетной записи:
HKEY_LOCAL_MACHINE\SYSTEM\CurremControlSet\Services \RemoteAccess\Parameters\AccountLockout\MaxDenials
Чтобы изменить временной интервал до сброса счетчика неудачных попыток, необходимо установить значение параметра ResetTime равным заданному числу минут:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \RemoteAccess\Parameters\AccountLockout\ResetTime
По умолчанию ResetTime = 0хb40 (2.880 мин или 48 ч).