Kann eine "falsche Passwortsperre" eingestellt werden?

1

Ich verwalte sieben Macs mit einer Reihe von OS X 10.10 bis macOS 10.13. Auf dem Computer, auf dem ich sie verwalte, wird OS X 10.10 ausgeführt.

Alle Benutzer sind Standardkonten mit einem Administratorkonto, mit dem ich die Computer verwalte.

Gibt es eine Möglichkeit, eine Falsche Passwortsperre können Sie nur dann weitere Passwörter ausprobieren, wenn eine festgelegte Zeit abgelaufen ist oder der Admin-Benutzer erneut Zugriff gewährt

Ich möchte die Aussperrung als zusätzliche Sicherheitsebene verwenden, wenn jemand versucht, sich mit einer Maschine brutal in eine Remote-Desktop-Sitzung zu zwingen, wenn sich die Maschine in einem öffentlichen Netzwerk befindet (zB Hotel / Flughafen usw.).

macos security password sam
quelle
Verwenden Sie macOS Server zur Verwaltung der Computer?
Jake3231
@ Jake3231 Nein, alle Computer sind mit einem lokalen Administratorkonto eingerichtet. Das Administratorkonto dient nur zur Verwaltung anderer Benutzerkonten auf diesem Computer und verhindert, dass Standardbenutzer Software usw. hinzufügen "Standard" -Berechtigungsbenutzerkonten. Die Maschinen werden zentral über Apple Remote Desktop verwaltet, wenn Änderungen erforderlich sind, es gibt jedoch keine konsolidierte Verwaltung wie bei einem MacOS-Server
sam
Vielen Dank @sam. Meines Wissens gibt es in macOS Server eine Option für die Kennwortrichtlinie, aber ich habe eine Antwort veröffentlicht, mit der Sie denselben Effekt auch ohne macOS Server erzielen können.
Jake3231

Antworten:

3

Es stellt sich heraus, dass Sie einen Terminal-Befehl verwenden können, um dies zu erreichen. Beachten Sie, dass Teile dieses Befehls veraltet sind, aber ich habe es unter macOS 10.13.3 getestet und alles scheint zu funktionieren.

  1. Melden Sie sich auf dem Gerät an, auf dem sich das Konto befindet, für das Sie eine Sperre einrichten möchten in das Administratorkonto.
  2. Öffnen Sie das Terminal und geben Sie den folgenden Befehl ein. pwpolicy -u testuser -setpolicy "maxFailedLoginAttempts=1". Annehmen, dass testuser ist der Kurzname des Benutzers, auf den Sie die Sperrungseinstellungen anwenden möchten 1 Die Anzahl der fehlgeschlagenen Versuche, um die Kontosperre auszulösen.
  3. Starten Sie das Gerät neu, um sicherzustellen, dass die Änderungen wirksam werden.

Wenn ein Konto gesperrt ist, können Sie sich erneut beim Administratorkonto anmelden und das Standardkonto mit dem folgenden Befehl entsperren. pwpolicy -u testuser -enableuser.

Aktualisieren: Ich konnte dies mit Remoteverbindungen testen, und Ihr Gerät lässt keine Remoteauthentifizierung mit einem gesperrten Konto zu.

Jake3231
quelle
Thanks @ Jake3231 Mein Hauptzweck wäre, jemanden zu beschränken, der versucht, sich auf einem Computer mit Remote Desktop Control zu bewegen. Wenn Sie sich in einem nicht sicheren Netzwerk befinden. Z.B. Hotel / Flughafen usw. Funktionieren die obigen Einstellungen für die Kennwortsperre sowohl für normale Benutzer als auch für Remote-Desktop-Verbindungen über ARD?
sam
@sam Dies wird sicherlich für Benutzer funktionieren, die versuchen, sich physisch am Gerät anzumelden, aber ich bin mir nicht sicher, ob es sich um eine Art Remote-Anmeldung handelt. Ich werde die Antwort aktualisieren, wenn ich weitere Informationen dazu finde.
Jake3231
@sam Nur als Update, nachdem ich online gesucht habe, scheint es, als würde dies helfen, das Konto in Bezug auf Remoteverbindungen abzusichern, aber ich habe dies noch nicht getestet.
Jake3231
@Sam. Es stellt sich heraus, dass dies Ihr Konto in Bezug auf Remoteverbindungen sichert. Ich habe die Antwort aktualisiert.
Jake3231
Danke, aus Gründen des Interesses, was ist die Standard-Passwortsperrungsrichtlinie in OSX?
sam