¿Se han acumulado mis bashs fallidos de contraseña a diferentes controlleres de dominio?

Si tengo dos controlleres de dominio (DC) en mi entorno y dos equipos diferentes se utilizan para iniciar session en los controlleres de dominio distintos, se puede superar los bashs de contraseña?

Además, ¿el mecanismo de reinicio funciona de la misma manera?

Ejemplo para mayor claridad: My Password Lockout Limit se establece en cinco bashs

  • El equipo 1 intenta iniciar session en DC1 – sin éxito
  • El equipo 1 intenta iniciar session en DC1 – sin éxito
  • El equipo 1 intenta iniciar session en DC1 – sin éxito

Y

  • El equipo 2 intenta iniciar session en DC2 – sin éxito
  • El equipo 2 intenta iniciar session en DC2 – sin éxito
  • El equipo 2 intenta iniciar session en DC2 – sin éxito

¿Esta count está bloqueada ahora?

Nota: Se agregó el equipo 2 para mayor claridad. La misma situación podría ocurrir en times de dificultades en la networking con una computadora.

Sí, la count se bloqueará.

Como se documenta en la documentation de Advanced Replication Management :

El locking de count es una característica de security que establece un límite en el número de bashs fallidos de authentication permitidos antes de que la count se "bloquee" de otro bash de inicio de session, además de un límite de time para cuánto time el locking está en efecto .
En Windows 2000, el locking de counts se replica urgentemente al propietario de la function emulador del controller de dominio principal (PDC) y, a continuación, se replica urgentemente a lo siguiente:

  1. Controladores de dominio en el mismo dominio que se encuentran en el mismo sitio que el emulador PDC.

  2. Controladores de dominio en el mismo dominio que se encuentran en el mismo sitio que el controller de dominio que manejó el locking de count.

  3. Controladores de dominio en el mismo dominio que se encuentran en sitios que se han configurado para permitir notificación de cambio entre sitios (y, por lo tanto, replicación urgente) con el sitio que contiene el emulador PDC o con el sitio donde se manejó el locking de count. Estos sitios incluyen cualquier sitio que se incluye en el mismo vínculo de sitio como el sitio que contiene el emulador de PDC o en el mismo vínculo de sitio que el sitio que contiene el controller de dominio que controló el locking de count.

Además, cuando la authentication falla en un controller de dominio que no sea el emulador PDC, la authentication se vuelve a intentar en el emulador PDC. Por este motivo, el emulador de PDC bloquea la count antes de que el controller de dominio que trató el bash de contraseña no se alcanzó si se alcanza el umbral de bash de contraseña incorrecta.

Para resumir, como los bashs de contraseña incorrecta se priorizan y cada bash de contraseña incorrecta también se vuelve a intentar en el emulador de PDC, su count se bloqueará por cualquier controller de dominio que se reproduce correctamente.

Sin embargo, hay algunas excepciones que podrían permitirle más que su cantidad asignada de inicios de session:

  1. Entornos mixtos con Windows NT Server 4.0 y controlleres de dominio de Active Directory
  2. La introducción de una contraseña reciente no aumenta el número de passwords incorrectas

Teóricamente es posible que un usuario exceda el número máximo de bashs de inicio de session definidos por la directiva. (Especialmente usando bashs de cambio de contraseña.)

Por ejemplo, diga que su política de locking es de 5 bashs de inicio de session incorrectos.

Un usuario podría intentar 4 inicios de session contra DC1,

entonces podrían intentar 4 logins contra DC2,

y todavía no consigue bloqueado hacia fuera después del primer bash mal de la connection contra DC2.

Desde https://technet.microsoft.com/en-us/library/Cc772726(v=WS.10).aspx , que es una lectura esencial para todos los administradores de AD:

Cuando se utiliza una contraseña incorrecta en un bash de cambiar una contraseña, el recuento de locking se incrementa sólo en ese controller de dominio y no se replica. Como tal, un atacante podría intentar (# de controlleres de dominio) * (umbral de locking -1) + 1 conjeturas antes de bloquear la count. Aunque este escenario tiene un impacto relativamente pequeño en la security de locking de count, los dominios con un número excepcionalmente alto de controlleres de dominio representan un aumento significativo en el número total de conjeturas disponibles para un atacante. Porque un usuario no puede especificar el controller de dominio en el que se intenta el cambio de contraseña, un ataque de este tipo requiere una herramienta avanzada.

También esto:

Además, cuando la authentication falla en un controller de dominio que no sea el emulador PDC, la authentication se vuelve a intentar en el emulador PDC. Por este motivo, el emulador de PDC bloquea la count antes de que el controller de dominio que trató el bash de contraseña no se alcanzó si se alcanza el umbral de bash de contraseña incorrecta.

Por lo tanto, normalmente no verá un usuario diario regular exceder el umbral de locking, pero es posible superar el umbral de locking definido con una herramienta automatizada que sea rápida y pueda superar la replicación de AD.

La key para llevar aquí es que la replicación urgente no significa replicación instantánea .