Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 15:17



Ответить на тему  [ Сообщений: 8 ] 
Cisco AnyConnect. Количество попыток авторизации 
Автор Сообщение

Зарегистрирован: 14 июн 2017, 14:25
Сообщения: 3
Добрый день, коллеги. Настроил подключение к корп сети через ASA с использованием AnyConnect. Авторизация по различным группам в домене. Все прекрасно работает, трафик ходит, шифруется, но есть вопрос - как ограничить количество попыток ввода пароля при авторизации через AnyConnect? Есть ли вообще такая возможность?


01 авг 2017, 14:47
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
самый простой способ не средствами ASA - доменная политика с количеством неверных попыток на группу пользователей


01 авг 2017, 15:48
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1525
А разве это не АД должен контролировать?


01 авг 2017, 15:48
Профиль

Зарегистрирован: 14 июн 2017, 14:25
Сообщения: 3
aliotru писал(а):
самый простой способ не средствами ASA - доменная политика с количеством неверных попыток на группу пользователей

Политика есть, действует на пользователей, если несколько раз введут неправильный пароль учетка доменная блокируется. Но политика виндовая применяется только на ПК в домене. А ASA как обычный ПК в домен не вводится.


02 авг 2017, 08:58
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
Не знаю как у вас настроено, но у меня вполне себе блокируется учетка, если неверно набрать пароль несколько раз


02 авг 2017, 09:45
Профиль

Зарегистрирован: 14 июн 2017, 14:25
Сообщения: 3
aliotru писал(а):
Не знаю как у вас настроено, но у меня вполне себе блокируется учетка, если неверно набрать пароль несколько раз

Настроено стандартно:
Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Политики учетных записей там настройка блокировки

Все, разобрался. Политика была настроена отдельная, а не DefaultDomainPolicy и не применялась к самому верхнему уровню. Всем спасибо.


02 авг 2017, 10:23
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
А верен ли такой подход?
Ведь так, зная принцип наименования в организации - можно легко остановать ее работу, тупо ломясь на всевозможные учетки с неверным паролем.
Идеальное решение - это что то вроде fil2ban линуксового. Но циска так и не разродилась почему то...


03 авг 2017, 09:20
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
P@ve1 писал(а):
А верен ли такой подход?

Очевидно, что не совсем. Но обычно не все пользователи имеют привилегию доступа к Anyconnect и, второе, это самый простой и доступный способ решить эту задачу.
Tormin писал(а):
DefaultDomainPolicy и не применялась к самому верхнему уровню.

использовать дефолтную доменную политику для чего то не самая лучшая затея. да и вобще ее изменение однажды может сыграть злую шутку.


03 авг 2017, 09:30
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 8 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 80


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB