Ogni giorno, gli amministratori di sistema hanno l'arduo compito di gestire più ticket, molti dei quali vengono generati da utenti che vengono bloccati dal loro account quando dimenticano o digitano erroneamente le loro password troppe volte. La risoluzione di questi blocchi richiede tempo e denaro prezioso all'azienda, con un costo medio di gestione di un ticket di quasi 15 dollari.* È importante che le organizzazioni configurino attentamente i criteri di blocco degli account per ridurre il numero di blocchi senza compromettere la sicurezza della rete. Sebbene non sia possibile prevenire tutti i blocchi, l'implementazione di queste tre procedure consigliate può ridurne significativamente il numero.
La durata del blocco dell'account dipende da informazioni specifiche dell'organizzazione, come il numero di utenti o il tipo di settore. Impostare la durata su zero manterrà l'account sicuro, bloccandolo fino a quando un amministratore non lo sbloccherà. Tuttavia, questo si traduce anche in un numero eccessivo di richieste all'help desk. La durata consigliata è compresa tra i 30 e i 60 minuti.
Se la soglia di blocco dell'account è impostata su un valore troppo basso, i blocchi accidentali saranno frequenti. Ciò potrebbe anche rendere l'account vulnerabile agli attacchi DoS (Denial of Service), poiché è più facile per l'utente malintenzionato inserire di proposito le password errate per bloccare l'account. D'altro canto, se la soglia è impostata su un valore troppo alto, la probabilità di successo di un attacco di forza bruta aumenta, poiché l'utente malintenzionato ha più opportunità di provare a indovinare le credenziali. La soglia consigliata è compresa tra 15 e 50.
Durante il calcolo del valore "reimposta contatore blocco account dopo", le organizzazioni devono tenere presente il tipo e il livello di minacce alla sicurezza che devono affrontare e bilanciarlo con il costo delle chiamate all'help desk. Questo valore deve essere minore o uguale alla durata del blocco dell'account. L'impostazione consigliata è inferiore a 30 minuti.
È necessario impostare combinazioni diverse dei valori dei criteri per gli utenti di vari livelli di sicurezza. Ciò è reso possibile dalla funzione Criterio granulare per le password in Active Directory (AD). Per gli utenti con un livello di sicurezza basso, i blocchi degli account possono essere disabilitati impostando la soglia su zero. Per gli utenti ad alta sicurezza, come amministratori e manager, la durata del blocco dell'account deve essere impostata su zero, in modo che un account bloccato possa essere sbloccato solo da un amministratore. Per questi utenti è necessario impostare una soglia di blocco dell'account bassa, in quanto devono ricordare le password e immettere le credenziali con cautela.
Il novantacinque percento delle violazioni della sicurezza informatica è causato da errori umani.** Le organizzazioni possono ridurre questo numero conducendo regolarmente corsi di sensibilizzazione sulla sicurezza informatica per educare i dipendenti su come evitare il blocco degli account.
L'analisi del comportamento degli utenti può essere utilizzata per rilevare picchi insoliti nell'attività di blocco degli account utente. Ciò è utile quando le organizzazioni hanno un numero elevato di dipendenti ed è impossibile tenere traccia dell'attività di blocco dell'account di ciascun utente.
Una delle principali cause di blocco degli account è l'utilizzo di credenziali obsolete da parte dei servizi di sistema, delle attività pianificate o delle sessioni del terminale disconnesse. La cancellazione del gestore delle credenziali e il riavvio del computer risolveranno la maggior parte di questi problemi.
Abilita le notifiche per ricevere avvisi in tempo reale per i blocchi degli account utente ad alta sicurezza, che possono aiutare a sbloccare questi account più velocemente. Utilizza strumenti di terze parti in grado di eseguire script per sbloccare istantaneamente gli account bloccati ad alta priorità.
Anche le app per dispositivi mobili che utilizzano credenziali AD (per es. Outlook e Microsoft Exchange Server) potrebbero utilizzare credenziali obsolete. Gli utenti devono prestare attenzione e aggiornare le loro credenziali dopo due o più modifiche della password. In Windows Server 2003 e versioni successive, se la password immessa è una delle due password impostate in precedenza, non viene conteggiata come password errata.