Tengo un sitio web en el que la carpeta IIS está configurada en Windows, esa es la autenticación integrada de Windows. Está disponible desde el proxy inverso para que cualquier usuario de Internet pueda acceder a la URL. A continuación, se les solicita credenciales. Supongamos que conocen un nombre de usuario, ¿pueden intentar varios intentos de bloquear la cuenta? No hay un monitoreo o protección especial, es un simple proxy inverso de IIS.
Sí, si el usuario se autentica contra un controlador de dominio, los intentos incorrectos de contraseña bloquearán la cuenta de acuerdo con la política de seguridad que se aplica a la cuenta. (Al controlador de dominio no le importa de dónde proviene el intento de autenticación).
Entonces, lo que tienes aquí es realmente un riesgo. Al exponer su autenticación interna de Windows a un sitio web público, ahora es posible automatizar los ataques de fuerza bruta contra las cuentas, si se conocen o se pueden adivinar los nombres.
El bloqueo lo detendrá, por supuesto, pero ahora tiene un caso de DoS contra cuentas de usuario y de servicio que pueden afectar su red interna.
Necesitas un control adicional o una política de cuenta aquí, a menos que quieras usar esto como un riesgo.
Lea otras preguntas en las etiquetas windows account-lockout proxy iis