Sito Web che utilizza Windows integrato: l'utente può essere bloccato

1

Ho un sito Web che la cartella IIS è impostata su Windows, cioè l'autenticazione integrata di Windows. È disponibile dal proxy inverso quindi qualsiasi utente di Internet può accedere all'URL. Poi ricevono le credenziali. Supponiamo che conoscano un nome utente, possono provare diversi tentativi per bloccare l'account? Non esiste un monitoraggio o protezione speciale, è un semplice proxy inverso di IIS.

    
posta j. doe 11.02.2017 - 00:36
fonte

2 risposte

1

Sì, se l'utente esegue l'autenticazione con un controller di dominio, i tentativi di password errata bloccano l'account in base alla politica di sicurezza applicata all'account. (Al controller di dominio non interessa da dove proviene il tentativo di autenticazione.)

    
risposta data 14.02.2017 - 22:06
fonte
1

Quindi quello che hai qui è in realtà un rischio. Esponendo l'autenticazione interna di Windows a un sito Web pubblico è ora possibile automatizzare gli attacchi a forza bruta contro gli account se i nomi sono noti o ipotizzabili.

Il blocco lo interromperà, ma ora hai un caso di DoS contro account utente e servizio che possono influire sulla tua rete interna.

Hai bisogno di un controllo aggiuntivo o di un criterio per l'account qui a meno che tu non desideri indossarlo come rischio.

    
risposta data 24.01.2018 - 22:46
fonte

Leggi altre domande sui tag