Como configurar o bloqueio de contas no Windows

Podemos recomendar uma configuração ideal para a maioria das definições (settings) existentes no nosso guia de segurança. Por exemplo, o privilégio da “depuração de programas (debug programs)” deve ser concedido aos administradores e a mais ninguém. No bloqueio de contas não existe uma configuração “única”. Cada organização deve determinar o que melhor atende às suas necessidades.
Este blogpost tenta ajudar a resolver os problemas, as vantagens e desvantagens de habilitar o bloqueio de conta e como efetivamente aplicá-los. Nós tivemos de escolher algo para servir como base, assim analisamos as configurações que selecionamos e por que a mudamos do que foi selecionado em outras bases recentes. Mais uma vez, aqui é um onde você deve olhar de perto e analisar as ameaças, as vantagens e desvantagens para o seu próprio ambiente antes de aplicar as configurações que escolhemos.
Aspectos básicos do Bloqueio de Contas
O objetivo do bloqueio de conta é dificultar um ataque bem sucedido daqueles que tentam adivinhar as senhas. Se o bloqueio da conta não está configurado, o invasor pode automatizar uma tentativa de logon em contas de usuário diferentes, tentando senhas comuns, bem como todas as combinações possíveis de oito caracteres ou menos em um período de tempo muito curto, até que um finalmente funcione.
Quando bloqueio de conta é configurado, o Windows bloqueia a conta após certo número de tentativas de logon sem sucesso, e bloqueia outras tentativas de logon mesmo se a senha correta é fornecida.
O bloqueio de contas do Windows pode ser configurado de três maneiras, são elas:
— Limite de bloqueio de conta: é o número de tentativas sem sucesso de logon que ativa o bloqueio de conta. Se for definido como 0, o bloqueio de conta é desativado e as contas nunca são bloqueadas.
— Duração do bloqueio de conta: o número de minutos que uma conta permanece bloqueada antes que ela seja desbloqueada automaticamente. Se for definido como 0, a conta permanecerá bloqueada até que um administrador possa explicitamente destravá-la.
— Redefinir o contador de bloqueio de conta depois de: o número de minutos após uma tentativa de logon sem sucesso, antes que o contador seja reiniciado com o valor 0.
O contador também é reiniciado após uma sessão bem-sucedida.
Vantagens e desvantagens do Bloqueio de Contas
Enquanto o bloqueio de contas pode ajudar a evitar a intrusão, ele também pode expor sua empresa a bloqueios acidentais, bem como a ataques de negação de serviço.
Nem toda tentativa malsucedida reflete uma tentativa de acesso não autorizado. Algumas vezes, os usuários esquecem suas senhas. Além disso, os aplicativos, principalmente os que usam as senhas salvas, muitas vezes não percebem a alteração de senha e continuam a usar a senha antiga, às vezes repetindo automaticamente a mesma senha em inúmeras tentativas em curto período de tempo. Isso se torna cada vez mais verdade à medida que os usuários têm mais dispositivos, como telefones e tablets que fazem login para receber e-mail ou outros acessos à corpnet.
Se o limite de bloqueio de conta for muito baixo, é muito provável que você veja muitos bloqueios acidentais. Para os usuários que não estão sendo capazes de realizar o seu trabalho, os bloqueios podem criar chamadas ao helpdesk que acabam se tornando caras, principalmente quando é necessária a intervenção do administrador para desbloquear a conta.
Encontrar a causa raiz dos bloqueios acidentais pode ser demorado. Assim, é bom definir um limite que evite travamentos acidentais, e não definir um limiar tão alto para que os invasores tenham muita oportunidade de sucesso. Configurar o tempo de bloqueio com um valor “razoável” que não seja zero, também pode reduzir as chamadas ao helpdesk.
A combinação de threshold, a duração do bloqueio e a redefinição das configurações determinam quantas suposições os invasores obtêm por dia. O ideal é que você os desencoraje até um ponto em que isso se torne impraticável ou, pelo menos, até não valer a pena o prosseguimento desse tipo de ataque.
Sempre que o bloqueio de conta é configurado de maneira fácil, um intruso pode realizar um ataque de negação de serviço e deliberadamente bloquear as contas. Não importa se você definiu o limite de 5 ou 50 — um ataque automatizado pode realizar muitas tentativas de logon fracassados em um grande número de contas muito rapidamente, e bloqueá-las. Se a duração do bloqueio é muito curta, um invasor pode ainda manter um ataque sustentado, bloqueando as contas assim que elas se tornem desbloqueadas. Se a duração do bloqueio é indeterminada (0), isso pode ser desastroso.
Reduzindo ou eliminando a necessidade de Bloqueio de Conta
Se você empregar outras mitigações contra ataques de suposição de senhas, você pode se dar o luxo de definir um maior limite de travamento ou bloqueio de conta até mesmo desativá-las completamente.
Alguns destes fatores atenuantes são os seguintes:
— Monitorar pró-ativamente as falhas de eventos de logon e ter um mecanismo robusto de resposta já implementado para quando a suposição de senha for detectada.
— Fazer a configuração do “smart card necessário para logon interativo” (SCRIL), e não manualmente definir uma senha para a conta. Quando o SCRIL está configurado, o hash da senha da conta é substituído por um valor aleatório, tornando o login efetivamente impossível. Quando SCRIL está configurado, portanto, o bloqueio de conta deve ser desativado para evitar a negação de serviço.
— Exigir senhas longas. Um conjunto de oito caracteres nas senhas pode ser testado em um curto período de tempo. As políticas do Windows permitem que você defina o tamanho mínimo de até 14 caracteres, que é o parâmetro que recomendamos. As senhas podem ser de até 256 caracteres, mas o Windows não permite que você demande mais que 14 caracteres sem um filtro de senha personalizada.
— Exigir complexidade da senha. Requerer vários tipos de caracteres aumenta a probabilidade de que os usuários vão escolher senhas mais fortes. Observe, no entanto, que isso não garante que as senhas fortes e que cumprem os requisitos de complexidade não possam ser facilmente decifradas. Um exemplo é a senha: “Password!”.
As seleções Iniciais
Como disse no início, não há uma única configuração de bloqueio de conta que funcione para todas as organizações. A nossa recomendação quanto ao bloqueio de conta é de considerar as vantagens e desvantagens e escolher o que é melhor para a sua situação.
No entanto, o nosso Guia de Segurança inclui GPOs e modelos de políticas de segurança que você pode aplicar diretamente. Não é possível definir o limite de bloqueio de conta com uma configuração pronta, na qual você só clique em “escolha a que for melhor para meu ambiente”. Por isso, temos de escolher algo.
As definições em nossa base são destinadas a grandes audiências. Reconhecemos que muitas organizações irão aplicar essas configurações sem ler as letras miúdas ou considerando as vantagens e desvantagens. É preciso encontrar o equilíbrio certo de segurança com ponderação que vai funcionar razoavelmente bem para a maioria das organizações.
Temos um limite de 10 tentativas fracassadas, a 15 minutos de tempo de bloqueio, e o reset do contador após 15 minutos (10/15/15). Esse valor limiar é uma mudança do Windows 8.1 / Windows Server 2012 R2 beta do guia de orientação anterior.
O limiar que publicamos para o Windows 7 / Windows Server 2008 R2, foi a orientação de 50 tentativas fracassadas. Com 15 minutos de duração e 15 minutos para reset do contador, que deu aos invasores uma média de 200 suposições de senha por hora.
Para o Windows 8 e Server 2012, tínhamos mudado para 5, depois de muita discussão com a comunidade de segurança externa, incluindo o Centro para a Segurança na Internet (ICS), Agência Nacional de Segurança dos Estados Unidos, a Agência de Defesa Sistemas de Informação dos EUA (DISA) e outros. O pensamento naquele momento era que usuário típico provavelmente não vai digitar sua senha incorretamente cinco vezes, a menos que ele realmente não se lembre da senha.
No caso de esquecimento da senha, provavelmente ele precisará chamar o helpdesk. Aumentamos o limite para 10 porque nossos engenheiros de suporte têm visto muitos bloqueios acidentais, principalmente com o aumento de dispositivos por usuário. O aumento do limite para 10 deve reduzir o número de bloqueios acidentais, e ao mesmo tempo não damos aos invasores a chance de 200 tentativas por hora.
Errata técnica Bloqueio de Conta
A documentação pública pode não estar bem clara sobre esses pontos, então vale a pena saber:
— Uma tentativa de logon usando uma conta com as duas senhas mais recentes que não foram bem sucedidas não aumentará o contador do logins fracassados. Em outras palavras, o uso repetido de uma senha salva vai bloquear a conta somente após a terceira alteração de senha.
— Tentativas fracassadas de desbloquear uma estação de trabalho pode causar o bloqueio de conta mesmo que a opção de segurança “logon interativo: exigir autenticação via controlador de domínio (DC) para desbloqueio de estação” esteja desativada. O Windows não precisa entrar em contato com um DC para desbloquear se você digitar a mesma senha com a qual está conectado. Entretanto, se você digitar uma senha diferente, o Windows tem de entrar em contato com o DC caso você tenha alterado a senha a partir de outra máquina. É realmente fácil bloquear uma conta em uma estação de trabalho travada em segundos apenas pressionando e, em seguida, pressionando a tecla .
Fonte: https://www.blogmicrosoftbrasil.com.br/como-configurar-o-bloqueio-de-contas/