Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie die Sperrfunktion für das Clientkonto für den Remotezugriff konfigurieren.
Gilt für: Windows Server 2019, Windows 10 – alle Editionen
Ursprüngliche KB-Nummer: 816118
Wichtig
Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie Änderungen an der Registrierung vornehmen, erstellen Sie eine Sicherungskopie, und stellen Sie sicher, dass Sie genau wissen, wie die Registrierung im Falle eines Problems wiederhergestellt wird. Weitere Informationen zum Sichern, Wiederherstellen und Ändern der Registrierung finden Sie unter Informationen über die Windows-Registrierung für erfahrene Benutzer.
Zusammenfassung
Remotezugriffsclients umfassen Direct Dial-In- und VPN-Clients (Virtual Private Network).
Sie können die Remotezugriffskontosperrfunktion verwenden, um die folgende Einstellung anzugeben:
Wie oft eine Remotezugriffsauthentifizierung für ein gültiges Benutzerkonto fehlschlägt, bevor der Benutzer den Zugriff verweigert.
Ein Angreifer kann versuchen, über remoteen Zugriff auf eine Organisation zuzugreifen, indem während des VPN-Verbindungsauthentifizierungsprozesses Anmeldeinformationen (gültiger Benutzername, erratenes Kennwort) gesendet werden. Während eines Wörterbuchangriffs sendet der Angreifer Hunderte oder Tausende von Anmeldeinformationen. Der Angreifer verwendet dies mithilfe einer Liste von Kennwörtern, die auf häufig verwendeten Wörtern oder Ausdrücken basieren.
Der Vorteil der Aktivierung der Kontosperrung besteht darin, dass Brute-Force-Angriffe, z. B. ein Wörterbuchangriff, unwahrscheinlich sind. Der Grund dafür ist, dass das Konto statistisch zumindest lange gesperrt ist, bevor ein zufällig ausgestelltes Kennwort wahrscheinlich korrekt ist. Ein Angreifer kann weiterhin eine Denial-of-Service-Bedingung erstellen, die Benutzerkonten absichtlich sperrt.
Konfigurieren der Remotezugriffs-Clientkontosperrfunktion
Die Sperrfunktion für das Remotezugriffskonto wird getrennt von den Kontosperreinstellungen verwaltet. Die Kontosperreinstellungen werden in Active Directory-Benutzer und -Computer verwaltet. Einstellungen für die Remotezugriffssperre werden durch manuelles Bearbeiten der Registrierung gesteuert. Diese Einstellungen unterscheiden nicht zwischen einem legitimen Benutzer, der ein Kennwort falsch einzugeben hat, und einem Angreifer, der versucht, ein Konto zu knacken.
Remotezugriffsserveradministratoren steuern zwei Features der Remotezugriffssperre:
- Die Anzahl der fehlgeschlagenen Versuche, bevor zukünftige Versuche verweigert werden.
- Wie häufig der Zähler für fehlgeschlagene Versuche zurückgesetzt wird.
Wenn Sie die Windows-Authentifizierung auf dem Remotezugriffsserver verwenden, konfigurieren Sie die Registrierung auf dem Remotezugriffsserver. Wenn Sie RADIUS für die Remotezugriffsauthentifizierung verwenden, konfigurieren Sie die Registrierung auf dem Internetauthentifizierungsserver (IAS).
Aktivieren der Remotezugriffs-Clientkontosperrung
Warnung
Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung.
Der Zähler für fehlgeschlagene Versuche wird in regelmäßigen Abständen auf Null (0) zurückgesetzt. Es wird automatisch auf Null zurückgesetzt, nachdem die Zurücksetzungszeit in der folgenden Situation liegt:
Ein Konto ist nach der maximalen Anzahl fehlgeschlagener Versuche gesperrt.
Führen Sie die folgenden Schritte aus, um die Sperrung des Remotezugriffs-Clientkontos und die Zurücksetzungszeit zu aktivieren:
Wählen Sie "Start>ausführen" aus, geben
regedit
Sie das Feld "Öffnen" ein, und drücken Sie dann die EINGABETASTE.Suchen Sie den folgenden Registrierungsunterschlüssel, und wählen Sie ihn aus:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout
Doppelklicken Sie auf den MaxDenials-Wert .
Der Standardwert ist 0 (null). Es gibt an, dass die Kontosperrung deaktiviert ist. Geben Sie die Anzahl der fehlgeschlagenen Versuche ein, bevor Das Konto gesperrt werden soll.
Klicken Sie auf OK.
Doppelklicken Sie auf den Wert resetTime (mins).
Der Standardwert ist 0xb40 hexadezimal für 2.880 Minuten (zwei Tage). Ändern Sie diesen Wert, um Ihre Netzwerksicherheitsanforderungen zu erfüllen.
Klicken Sie auf OK.
Beenden Sie den Registrierungs-Editor.
Manuelles Entsperren eines Remotezugriffsclients
Wenn das Konto gesperrt ist, kann der Benutzer versuchen, sich erneut anzumelden, nachdem der Sperrzeitgeber abgelaufen ist. Alternativ können Sie den Wert "DomainName:UserName " im folgenden Registrierungsschlüssel löschen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout
Führen Sie die folgenden Schritte aus, um ein Konto manuell zu entsperren:
Wählen Sie "Start>ausführen" aus, geben
regedit
Sie das Feld "Öffnen" ein, und drücken Sie dann die EINGABETASTE.Suchen Sie den folgenden Registrierungsunterschlüssel, und wählen Sie ihn aus:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout
Suchen Sie den Wert "Domain Name:Benutzername ", und löschen Sie dann den Eintrag.
Beenden Sie den Registrierungs-Editor.
Testen Sie das Konto, um zu bestätigen, dass es nicht mehr gesperrt ist.
References
Weitere Informationen zur Clientsperrfunktion für den Remotezugriff finden Sie unter Kontosperrungsrichtlinie.