在这里,您可以设置一个配置,该配置将锁定任何以可疑快速连贯方式未能回答安全问题的ADSelfService Plus用户帐户。
现在,出现一个问题:密码自助服务解决方案是帮助那些被锁定在计算机外的用户吗?如果解决方案本身开始锁定用户并拒绝服务,那还有什么用呢?
回答:想象一下,一个黑客使用字典攻击程序以每秒300,000种密码组合对ADSelfService Plus进行攻击!如果没有锁定机制作为防护,那么知道(或猜测)您域中有效用户名的黑客就有足够的时间和机会破解帐户的答案。因此,必须启用锁定机制,以防万一。
这要根据您的组织而定。
低安全性:锁定阈值 - 没有定义或超过 10 次尝试 | 锁定持续时间 - 0(没有锁定期限)。
中等安全性:锁定阈值 - 5 次尝试 | 锁定持续时间 - 30 分钟
高安全性:锁定阈值 - 5 次或更少尝试 | 锁定持续时间 - 根据管理员的意愿!
我们需要放宽到适合自助服务解决方案的程度。根据多个客户的反馈,最佳数字似乎是:
在 5 次尝试中,字典攻击软件成功的机会非常渺茫!
启用这些功能后,每当用户重置或更改密码,或解锁被锁定的帐户时,系统都会向用户发送电子邮件。
作为最佳实践,建议始终保持此功能开启。
原因:虽然用户已经知道他正在使用 ADSelfService Plus 重置密码,软件本身也会告知他操作的状态,但向他的电子邮件发送通知可以在意外有人重置他密码时提醒他。这就像信用卡公司或银行在您刷卡时会告知您消费情况一样。
在用户重置密码或解锁帐户之前,ADSelfService Plus 要求他们进行 CAPTCHA 验证。这有助于确认仅人类用户而不是任何自动黑客软件在访问该解决方案。
启用此功能将禁用这些页面上的 CAPTCHA 验证。
| 优点 | 缺点 |
|---|---|
|
该功能能够防止自动黑客软件入侵或进行拒绝服务攻击。 |
当用户无法理解扭曲的图像并进行重现时,可能会感到恼火。 |
我们的建议:绝不要开启! 大多数用户在 CAPTCHA 验证时不会感到任何不适。
启用此功能后,将从终端用户的门户中移除“个性化”选项卡
功能:当域用户的密码过期时自动重置密码
功能:在域中自动解锁被锁定的帐户
正如自解释的名称所示,这些功能会扫描网络中的过期密码或被锁定帐户并提供解决方案。
专为某些学校定制,并被多个教育机构广泛使用,这一功能集在发生大规模账户锁定或密码过期的地方提供了极大的便利。
是否使用此功能由您自行决定。如果您认为这种安排不适合您,则请不要启用此功能。另一方面,如果您对以下解释感到信服并认为此功能对您有帮助,您可以按照推荐使用。
此功能的工作原理: 这实际上是一个调度程序,您可以配置其按照您希望的频率对您的域进行扫描。在扫描过程中,如果调度程序检测到任何被锁定的账户或密码过期的账户,它将解锁该账户或重置密码。
这仅仅是一个便利。对我们来说,这也是一个卖点!某些学校和学院请求我们提供此功能
我们的建议: 如果您的环境不需要,绝对不要启用它们。
问答设置:
始终逐个显示安全问题。绝不要一次性全部显示。
答案设置:
始终保留以下设置:
防止用户对多个问题提供相同的答案
防止用户在其答案中使用问题的任何单词。
在RP/UA时验证安全问题的答案时区分大小写。
绝对不要: 使用可逆加密存储安全答案。
在重置/解锁操作时隐藏“确认答案”框。(有争议)
绝对不要启用“隐藏验证码”。
通知: 始终启用它们
重置与解锁: 在密码重置时解锁(有争议)
绝对不要: 忘记提示用户在下次登录时更改密码,如果您已自动重置他们的密码。
始终设置会话
启用密码强度分析器
您的请求已提交给ADSelfService Plus技术支持团队。我们的技术支持人员将尽快协助您。
版权所有 © 2024,卓豪(中国)技术有限公司,保留所有权利。
ADManager Plus
ADAudit Plus
Exchange Reporter Plus
Microsoft 365 Manager Plus