Es posible que nos interese configurar el bloqueo de usuarios en web para prevenir ataques donde el login del usuario es conocido pero no la password.

El nombre del usuario si el servidor esta configurado para aceptar varios nombres podria ser perfectamente el email con lo que es "facil" adivinar el login, ya solo nos quedaria adivinar el password.

Esta opción la tenemos en el documento de servidor pestaña Seguridad, y como bien dice ofrece menos seguridad, aunque para los usuarios es mas "cómodo"



En este caso, como tenemos "menos seguro" la parte de login de internet, vamos a configurar el bloqueo de usuarios para evitar este tipo de ataques. Tendremos que editar el documento de configuración del servidor y en la pestaña Seguridad, activar el campo "Enforce Internet Password Lockout" a Yes.


Modificar los parámetros necesarios segun nuestra política, grabar y reiniciar el servidor.

Entonces se creará la base de datos "inetlockout.nsf" que es donde veremos los usuarios bloqueados y los intentos fallidos de login.





Una vez configurada esta opción podremos crear Politicas de Seguridad que modifiquen estos parámetros para algún usuario u organización.

Un Saludo

Usuarios Web