สำหรับการตั้งค่า Account Lockout Policy ที่ Microsoft แนะนำ.
- Account lockout threshold ตั้งค่าเป็น 15 นาที.
- Account lockout duration 10 ครั้ง (CIS_Benchmark_v3.0.0. แนะนำให้ set 5 ครั้ง)
- Reset account lockout counter after 15 นาที.
- Allow Administrator account lockout ตั้งค่าเป็น Enabled..
ตั้งค่า Account Lockout Policy.
จากรรูปด้านล่างเป็นค่า default ของ Account Lockout Policy.
1. เปิด GPM ขึ้นมาแล้วเลือกไปที่ domain (115itckp.local) > Group Policy Objects > เลือกที่ Default Domain Policy > คลิกขวาเลือก Edit...
2. เลือก Computer Configuration > Policies > Windows Settings > Security Settings >Account Policy > Account Lockout Policy.
จากรูปแสดง Account Lockout Policy ที่เราสามารถกำหนดได้ เราสามารถตั้งค่าได้โดยดับเบิลคลิกที่ Policy settings หรือ คลิกขวาเลือก properties.
3. ในหน้าต่าง Account lockout duration policy.
- ให้เลือก "Define this policy setting"
- Account is locked out for: 15 minutes
หลังจากนั้นจะมีหน้าต่างแนะนำ(บังคับ)ให้ตั้งค่าตามที่แสดงให้กด OK เราสามารถเปลี่ยนแปลงที่หลังได้.
- เลือก Define this policy settings
- Account will lock out after: 10 invalid logon attempts.
หลังจากนัั้นให้กด OK จะมีหน้าต้าง suggested setting บังคับให้เปิดใช้งาน Allow Administrator account lockout ให้กด OK.
6. หน้าต่าง Reset account lockout counter after.
- เลือก Define this policy settings.
- กำหนดค่า Reset account lockout counter after: 15 minutes.
หลังจากนั้นให้เลือก OK.
7. สุดท้ายจะได้ค่า Configuration ตามด้านล่างนี้.
ตรวจสอบค่าที่เกี่ยวข้องกับ Account Lockout Policy.
ส่วนที่ 1: ส่วนที่ใช้ในการนับ bad password count.
1. ไปที่ User> คลิกขวา Properties > attribute editor > find attribute name "badPwdCount" and "batPasswordTime"
จากภาพจะแสดง attribute ที่ใช้ในการเก็บค่า ฺpassword failed (badPwdCount) และเวลาล่าสุดที่ event เกิดขึ้น (batPasswordTime).
การดูสถานะ Account ว่า lock หรือ ไม่ lock สั่งเกตุที่แท็บ Account จะมี checkbox และมีขอความว่า Unlock account.
- ถ้าหาก Unlock account (account ไม่ถูก lock)
- ถ้าหาก Unlock account. This account is currently locked out on this Active Directory Domain Controller (account ถูก locked)
ทดสอบผลของการตั้งค่า Account Lockout Policy.
เมื่อผู้ใช้พยายามที่จะ sing-in โดยใส่ password ผิดเกิดที่ policy ได้กำหนดคือ 10 ครั้ง.
จากรูปด้านล่างนี้แสดง badPwdCount จะมีค่าเป็น 5 แสดงว่า user ใส่ password ผิดมาแล้ว 5 ครั้ง.
หลังจากผู้ใช้งาน sign-in ผิดเกิน 10 ครั้ง จะมีข้อความแจ้ง "The referenced account is currently locked out and may not be logged on to. หลังจากนี้ถึงจะใส่ password ถูกต้อง ก็เข้าระบบไม่ได้อยู่ดี. แต่ในช่วงที่โดน locked จะไม่มีการนับ badPwdCount ต่อ.
หลังจากนั้นมาตรวจสอบใน Attribute editor > จะมีส่วนของ badPwdCount เท่ากับ 10.
หมายเหตุ: ค่า badPwdCount และ badPasswordTime จะไม่ถูก Replication ไปยัง domain controller ตัวอื่น.
แต่ในส่วของการ Unblock account จะมีเหมือนกัน.
สำหรับการ Unlock account มีดังนี้.
วิธีที่ 1: รอให้ reset account.
ในกรณีถ้าหากเราตั้งค่า Reset account lockout counter after ให้สามารถ reset account เองหลังจากผ่านไปกี่นาที.
การ Unlock account โดย Reset account lockout counter after โดยค่านี้ตั้งไวที่ 15 นาที.
จากรูปด้านล่าง เทียบเวลาที่ account lock out และ เวลาปัจจุบัน ณ. วันนั้น.
ฺbadpasswordtime = 3: 10: 10 PM และ currentime = 3: 27:19 PM ผ่านมาเป็นเวลาประมาณ 17 นาที. (17>15) ตัว Account lock จะทำการ reset ให้เอง. และ user สามารถเข้าใช้งานได้ปกติ.
หาก User ใส่ password ผิดและทำให้ account lock ตามรูปด้านล่างนี้ เราสามารถให้ Administrator เป็นคน unlock account ให้ได้.
โดย admin สามารถเข้าไปใน ADUC แล้วเลือก User ที่ต้องการ unlock โดยคลิกขวา เลือก Properties > ไปที่แท็บ Account สั่งเกตุว่าหลังคำว่า Unlock account จะมีขอความ "This account is currently locked out on this Active Directory Domain Controller" แสดงว่า account โดน locked แล้ว เราสามารถ unblock account ได้ดังนี้.
- เลือก chekbox ที่หน้า Unlock account
- กด OK หรือ Apply หลังจากนั้นข้อความ "This account is currently locked out on this Active Directory Domain Controller" จะหายไป แสดงว่าถูก unlock เรียบร้อยแล้ว
- ค่า badPwdCount จะถูก reset เป็น "0"
อ้างอิง.
รายละเอียด Account Lockout Policy.
Ref: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/account-lockout-policy
0 comments:
แสดงความคิดเห็น