Konfigurieren der Remotezugriffs-Clientkontosperrung
In diesem Artikel wird beschrieben, wie Sie das Feature für die Remotezugriffs-Clientkontosperrung konfigurieren.
Gilt für: Windows Server 2019, Windows 10 – alle Editionen
Ursprüngliche KB-Nummer: 816118
Wichtig
Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie Änderungen an der Registrierung vornehmen, erstellen Sie eine Sicherungskopie, und stellen Sie sicher, dass Sie genau wissen, wie die Registrierung im Falle eines Problems wiederhergestellt wird. Weitere Informationen zum Sichern, Wiederherstellen und Ändern der Registrierung finden Sie unter Informationen über die Windows-Registrierung für erfahrene Benutzer.
Zusammenfassung
Remotezugriffsclients umfassen Direkteinwahl- und VPN-Clients (Virtual Private Network).
Sie können die Remotezugriffskontosperrfunktion verwenden, um die folgende Einstellung anzugeben:
Gibt an, wie oft eine Remotezugriffsauthentifizierung für ein gültiges Benutzerkonto fehlschlagen muss, bevor dem Benutzer der Zugriff verweigert wird.
Ein Angreifer kann versuchen, über Remotezugriff auf eine organization zuzugreifen, indem er während des Authentifizierungsprozesses der VPN-Verbindung Anmeldeinformationen (gültiger Benutzername, erratenes Kennwort) sendet. Während eines Wörterbuchangriffs sendet der Angreifer Hunderte oder Tausende von Anmeldeinformationen. Der Angreifer verwendet dazu eine Liste von Kennwörtern, die auf gängigen Wörtern oder Ausdrücken basieren.
Der Vorteil der Aktivierung der Kontosperrung besteht darin, dass Brute-Force-Angriffe, z. B. ein Wörterbuchangriff, wahrscheinlich nicht erfolgreich sind. Dies liegt daran, dass das Konto zumindest statistisch lange gesperrt ist, bevor ein zufällig ausgestelltes Kennwort wahrscheinlich richtig ist. Ein Angreifer kann weiterhin eine Denial-of-Service-Bedingung erstellen, die Benutzerkonten absichtlich sperrt.
Konfigurieren der Remotezugriffs-Clientkontosperrfunktion
Die Remotezugriffskontosperrfunktion wird getrennt von den Kontosperrungseinstellungen verwaltet. Die Einstellungen für die Kontosperrung werden in Active Directory-Benutzer und -Computer beibehalten. Einstellungen für die Remotezugriffssperre werden durch manuelles Bearbeiten der Registrierung gesteuert. Diese Einstellungen unterscheiden nicht zwischen einem legitimen Benutzer, der ein Kennwort falsch einzugeben hat, und einem Angreifer, der versucht, ein Konto zu knacken.
Remotezugriffsserveradministratoren steuern zwei Features der Remotezugriffssperre:
- Die Anzahl der fehlgeschlagenen Versuche, bevor zukünftige Versuche verweigert werden.
- Gibt an, wie häufig der Zähler für fehlgeschlagene Versuche zurückgesetzt wird.
Wenn Sie die Windows-Authentifizierung auf dem RAS-Server verwenden, konfigurieren Sie die Registrierung auf dem RAS-Server. Wenn Sie RADIUS für die Remotezugriffsauthentifizierung verwenden, konfigurieren Sie die Registrierung auf dem Internetauthentifizierungsserver (IAS).
Aktivieren der Remotezugriffs-Clientkontosperrung
Warnung
Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung.
Der Zähler für fehlgeschlagene Versuche wird in regelmäßigen Abständen auf Null (0) zurückgesetzt. In der folgenden Situation wird sie nach der Zurücksetzungszeit automatisch auf 0 zurückgesetzt:
Ein Konto wird nach der maximalen Anzahl von fehlgeschlagenen Versuchen gesperrt.
Führen Sie die folgenden Schritte aus, um die Remotezugriffs-Clientkontosperrung und -zurücksetzungszeit zu aktivieren:
Wählen SieStart Run (Ausführung> starten) aus, geben Sie
regeditin das Feld Öffnen ein, und drücken Sie dann die EINGABETASTE.Suchen Sie den folgenden Registrierungsunterschlüssel, und wählen Sie ihn aus:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockoutDoppelklicken Sie auf den Wert MaxDenials .
Der Standardwert ist "0". Es gibt an, dass die Kontosperrung deaktiviert ist. Geben Sie die Anzahl der fehlgeschlagenen Versuche ein, bevor das Konto gesperrt werden soll.
Wählen Sie OK aus.
Doppelklicken Sie auf den Wert ResetTime (mins).
Der Standardwert ist 0xb40 , der 2.880 Minuten (zwei Tage) hexadezimal ist. Ändern Sie diesen Wert, um Ihre Netzwerksicherheitsanforderungen zu erfüllen.
Wählen Sie OK aus.
Schließen Sie den Registrierungs-Editor.
Manuelles Entsperren eines Remotezugriffsclients
Wenn das Konto gesperrt ist, kann der Benutzer versuchen, sich erneut anzumelden, nachdem der Sperrzeitgeber abgelaufen ist. Alternativ können Sie den Wert DomainName:UserName im folgenden Registrierungsschlüssel löschen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout
Führen Sie die folgenden Schritte aus, um ein Konto manuell zu entsperren:
Wählen SieStart Run (Ausführung> starten) aus, geben Sie
regeditin das Feld Öffnen ein, und drücken Sie dann die EINGABETASTE.Suchen Sie den folgenden Registrierungsunterschlüssel, und wählen Sie ihn aus:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockoutSuchen Sie den Wert Domänenname:Benutzername , und löschen Sie dann den Eintrag.
Schließen Sie den Registrierungs-Editor.
Testen Sie das Konto, um zu bestätigen, dass es nicht mehr gesperrt ist.
References
Weitere Informationen zur Remotezugriffs-Clientsperrfunktion finden Sie unter Kontosperrungsrichtlinie.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für