大学のプロジェクトのネットワークのセキュリティ分析を行っています。サーバーは、SSLと統合されたiisの基本的な認証を使用します。現在、ブルートフォース攻撃の可能性を検討しています。良いポリシーには複雑なパスワードが必要であること、数日ごとにパスワードを変更することなどが必要であることを私は知っていますが、5回の間違った試行(たとえば)後にアカウントを1時間ブロックした後、これらの攻撃に対するセキュリティを強化するのに役立つシステムがあります。私が尋ねるのは、そのような保護があるかどうかです。
ありがとうございました
IISはそうではありません。 Windowsはそうします。 Windows以外のアカウントプロバイダーを実装していない限り、基本的なログオン試行はWindowsユーザーアカウントにヒットし、Windowsパスワードポリシーと連動して機能します。
ブルートフォース攻撃から保護するには、認証に失敗した場合の応答を遅くし、推測が難しい長いパスワードを使用します。必須のSSL(https)を使用します。
うーん...ここで起こっているいくつかの循環論理。基本認証を使用するようにWebサイトを構成しました。おそらく、サイトにアクセスするユーザーを認証し、認証されていないユーザーを締め出すためですが、ログイン試行の回数が多すぎますか?それが認証の目的ではありませんか?認証されたエンティティを許可し、認証されていないエンティティを禁止するには?
私はあなたの質問を誤解していますか(おそらく、その形式に基づいています)?基本認証がIISのデフォルト設定であるかどうかを尋ねていますか?もしそうなら、答えはノーです。