Różne Sekcje Zaawansowanego Okna i Ustawienia do Wprowadzenia

Karta Blokuj Użytkownika:

W tym miejscu możesz skonfigurować ustawienie, które zablokuje wszelkie konta użytkownika w ADSelfService Plus, które nie będą w stanie odpowiedzieć na pytania zabezpieczające w podejrzanie szybkim czasie.

Teraz pojawia się pytanie: Rozwiązanie do samodzielnej obsługi hasła ma pomóc użytkownikom, którzy zablokowali się na komputerach? Jaka to korzyść, jeśli samo rozwiązanie zaczyna blokować użytkowników i odmawia usługi?

Odpowiedź: Wyobraź sobie program ataku słownikowego używany przez hakera atakującego ADSelfService Plus z prędkością 300,000 kombinacji haseł na sekundę! Jeśli nie ma mechanizmu blokady, to haker, który zna (lub zgadł) prawidłową nazwę użytkownika w Twojej domenie, ma wszelkie czas i okazję na złamanie odpowiedzi konta. Dlatego tak ważne jest, aby wdrożyć mechanizm blokady na wszelki wypadek.

Jaki jest najlepszy próg blokady i czas trwania?

Cóż, to zależy od Twojej organizacji.

Standardowe końcowe wartości mechanizmu blokady Active Directory:

Niska bezpieczeństwo: Próg blokady – Nie zdefiniowany lub więcej niż 10 prób | Czas trwania blokady – 0 (brak okresu blokady).

Średnie bezpieczeństwo: Próg blokady – 5 prób | Czas trwania blokady – 30 minut

Wysokie bezpieczeństwo: Próg blokady – 5 lub mniej prób | Czas trwania blokady – tak długo, jak chce administrator!

Musimy to poluzować do poziomu, który odpowiada rozwiązaniu samodzielnej obsługi. Ponownie, na podstawie opinii wielu klientów, najlepsze wartości to:

5 prób jako próg i 30 minut jako czas blokady.

Szanse na to, że oprogramowanie atakujące słownikowo zgadnie poprawnie w 5 próbach są bardzo nikłe!

Punkty do zapamiętania:

• Umożliwienie weryfikacji odpowiedzi bezpieczeństwa może prowadzić do niepożądanych blokad. Musisz to rozważyć.
• Zmuszanie użytkowników do trzymania swoich odpowiedzi zbyt długich może również skutkować zapomnieniem odpowiedzi i zablokowaniem dostępu do ADSelfService Plus. Idealna minimalna długość odpowiedzi nie powinna przekraczać 12 znaków.

Karta powiadomień:

• Włącz powiadomienia o resetowaniu hasła
• Włącz powiadomienia o odblokowywaniu konta
• Włącz powiadomienia o zmianie hasła

Włączenie tych funkcji wysyła e-maile do użytkowników, gdy tylko zresetują lub zmienią swoje hasła, lub odblokują swoje zablokowane konta.

Jako najlepsza praktyka, zaleca się zawsze pozostawienie tej funkcji włączonej.

Powód: Z chwilą, gdy użytkownik wie, że korzysta z ADSelfService Plus do resetowania hasła oraz sama aplikacja informuje go o stanie operacji, wysłanie powiadomienia na jego e-mail mogłoby być alertem dla niego, gdyby ktoś inny zresetował jego hasło. To tak, jak informują cię firmy zajmujące się kartami kredytowymi lub banki o używaniu, gdy przesuwasz kartę.

Nasza rekomendacja: Zawsze włączaj te funkcje!

Karta ogólna:

• Funkcja: Ukryj CAPTCHA

Zanim użytkownicy będą mogli zresetować swoje hasła lub odblokować konta, ADSelfService Plus wymaga, aby zweryfikowali CAPTCHA. Pomaga to potwierdzić, że dostęp mają tylko ludzie, a nie zautomatyzowane oprogramowanie hakerskie.

Włączenie tej funkcji wyłącza weryfikację CAPTCHA na tych stronach.

Zaleta	Wada
Funkcja jest zdolna do blokowania automatycznego oprogramowania hakerskiego przed włamaniem lub przeprowadzeniem ataków typu denial-of-service.	Użytkownicy mogą być zirytowani, gdy nie będą w stanie zrozumieć zniekształconego obrazu i go odtworzyć.

Nasza rekomendacja: Nigdy nie pozostawiaj tego włączonego! Większość użytkowników nie odczuwa żadnego dyskomfortu związanego z weryfikacją CAPTCHA.

• Funkcja: Ukryj zakładkę „Personalizuj” z strony użytkownika końcowego

Włączenie tej funkcji usuwa zakładkę „Personalizuj” z portalu użytkownika końcowego.

Karta automatyzacji

Funkcja: Automatyczne resetowanie haseł użytkowników domeny po ich wygaśnięciu

Funkcja: Automatyczne odblokowywanie zablokowanych kont w domenie

Jak sugerują samo wyjaśniające się nazwy, te funkcje skanują sieć w poszukiwaniu wygasłego hasła lub zablokowanego konta i oferują rozwiązanie.

Dostosowane do niektórych szkół i szeroko stosowane przez kilka instytutów edukacyjnych, ten zestaw funkcji jest mile widzianym udogodnieniem w miejscach, w których występuje incydent masowego zablokowania kont lub wygasania haseł.

Zostawiamy to Tobie, aby zdecydować, czy użyć tej funkcji, czy nie. Jeśli uważasz, że takie rozwiązanie nie sprawdzi się dobrze dla Ciebie, nie włączaj tej funkcji. Z drugiej strony, jeśli jesteś przekonany do podanej poniżej wyjaśnienia i uważasz tę funkcję za pomocną, możesz ją używać zgodnie z zaleceniami.

Jak działa ta funkcja: To w rzeczywistości harmonogram, który możesz skonfigurować, aby skanować swoją domenę tak często, jak chcesz. W trakcie skanowania, jeśli harmonogram wykryje jakiekolwiek zablokowane konto lub konto z wygasłym hasłem, odblokuje je lub zresetuje hasło.

Porada:

Cóż, to tylko udogodnienie. A dla nas to także argument sprzedażowy! Niektóre szkoły i uczelnie proszą nas o tę funkcję

Nasza rekomendacja: Nigdy ich nie włączaj, jeśli nie jest to potrzebne w Twoim środowisku.

Ustawienia Q&A

Zawsze wyświetlaj pytania zabezpieczające jedno po drugim. Nigdy nie podawaj ich wszystkich naraz.

Ustawienia odpowiedzi:

Zawsze zostaw następujące włączone:

Zapobiegaj użytkownikowi przed podawaniem tej samej odpowiedzi na wiele pytań
Zapobiegaj użytkownikowi przed używaniem jakiegokolwiek słowa z pytania w swoich odpowiedziach.
Weryfikuj odpowiedzi na pytania zabezpieczające jako rozróżniające wielkość liter podczas RP/UA.

NIGDY: Nie przechowuj odpowiedzi zabezpieczających za pomocą szyfrowania odwrotnego.

Ukryj pole 'Potwierdź odpowiedź' podczas operacji resetowania / odblokowywania. (dyskusyjne)

Ogólnie:

Nigdy nie włączaj "Ukryj CAPTCHA".

POWIADOMIENIA: Zawsze je włączaj

RESET&ODBLOCKUJ: Odblokuj podczas resetowania hasła (dyskusyjne)

NIGDY: Nie zapominaj, aby zachęcać użytkowników do zmiany hasła przy następnym logowaniu, jeśli automatycznie zresetowałeś ich hasło.

Zawsze ustaw sesję

Włącz analizator siły hasła