Konfigurieren der Clientkontosperrung für den Remotezugriff
In diesem Artikel wird beschrieben, wie Sie das Feature zum Sperren von Clientkonten für den Remotezugriff konfigurieren.
Gilt für: Windows Server 2019, Windows 10 – alle Editionen
Ursprüngliche KB-Nummer: 816118
Wichtig
Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie Änderungen an der Registrierung vornehmen, erstellen Sie eine Sicherungskopie, und stellen Sie sicher, dass Sie genau wissen, wie die Registrierung im Falle eines Problems wiederhergestellt wird. Weitere Informationen zum Sichern, Wiederherstellen und Ändern der Registrierung finden Sie unter Informationen über die Windows-Registrierung für erfahrene Benutzer.
Zusammenfassung
Remotezugriffsclients umfassen Direkteinwahl- und VPN-Clients (Virtual Private Network).
Sie können die Sperrfunktion für Remotezugriffskonten verwenden, um die folgende Einstellung anzugeben:
Gibt an, wie oft eine Remotezugriffsauthentifizierung für ein gültiges Benutzerkonto fehlschlagen muss, bevor dem Benutzer der Zugriff verweigert wird.
Ein Angreifer kann versuchen, über Remotezugriff auf eine Organisation zuzugreifen, indem er während des VPN-Verbindungsauthentifizierungsprozesses Anmeldeinformationen (gültiger Benutzername, erratenes Kennwort) sendet. Während eines Wörterbuchangriffs sendet der Angreifer Hunderte oder Tausende von Anmeldeinformationen. Der Angreifer verwendet dazu eine Liste von Kennwörtern, die auf häufig verwendeten Wörtern oder Ausdrücken basieren.
Der Vorteil der Aktivierung der Kontosperrung besteht darin, dass Brute-Force-Angriffe, z. B. ein Wörterbuchangriff, wahrscheinlich nicht erfolgreich sein werden. Der Grund dafür ist, dass das Konto zumindest statistisch gesperrt ist, lange bevor ein zufällig ausgegebenes Kennwort wahrscheinlich richtig ist. Ein Angreifer kann weiterhin eine Denial-of-Service-Bedingung erstellen, die Benutzerkonten absichtlich sperrt.
Konfigurieren der Clientkontosperrfunktion für den Remotezugriff
Das Feature zum Sperren von Remotezugriffskonten wird getrennt von den Kontosperreinstellungen verwaltet. Die Kontosperreinstellungen werden in Active Directory-Benutzer und -Computer beibehalten. Sperreinstellungen für den Remotezugriff werden durch manuelles Bearbeiten der Registrierung gesteuert. Diese Einstellungen unterscheiden nicht zwischen einem legitimen Benutzer, der ein Kennwort falsch eingibt, und einem Angreifer, der versucht, ein Konto zu knacken.
Remotezugriffsserveradministratoren steuern zwei Features der Remotezugriffssperre:
- Die Anzahl der fehlgeschlagenen Versuche, bevor zukünftige Versuche verweigert werden.
- Wie häufig der Zähler für fehlgeschlagene Versuche zurückgesetzt wird.
Wenn Sie die Windows-Authentifizierung auf dem Remotezugriffsserver verwenden, konfigurieren Sie die Registrierung auf dem Remotezugriffsserver. Wenn Sie RADIUS für die Remotezugriffsauthentifizierung verwenden, konfigurieren Sie die Registrierung auf dem Internetauthentifizierungsserver (IAS).
Aktivieren der Clientkontosperrung für den Remotezugriff
Warnung
Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung.
Der Zähler für fehlgeschlagene Versuche wird in regelmäßigen Abständen auf Null (0) zurückgesetzt. Sie wird nach der Zurücksetzungszeit in der folgenden Situation automatisch auf Null zurückgesetzt:
Ein Konto wird nach der maximalen Anzahl fehlgeschlagener Versuche gesperrt.
Führen Sie die folgenden Schritte aus, um die Sperrung des Clientkontos für den Remotezugriff zu aktivieren und die Zeit zurückzusetzen:
Wählen Sie "Start>Run" aus, geben Sie
regedit
das Feld "Öffnen " ein, und drücken Sie dann die EINGABETASTE.Suchen Sie den folgenden Registrierungsunterschlüssel, und wählen Sie ihn aus:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout
Doppelklicken Sie auf den MaxDenials-Wert .
Der Standardwert ist "0". Es gibt an, dass die Kontosperrung deaktiviert ist. Geben Sie die Anzahl der fehlgeschlagenen Versuche ein, bevor das Konto gesperrt werden soll.
Wählen Sie OK aus.
Doppelklicken Sie auf den Wert "ResetTime( mins) ".
Der Standardwert ist 0xb40 hexadezimal für 2.880 Minuten (zwei Tage). Ändern Sie diesen Wert, um Ihre Netzwerksicherheitsanforderungen zu erfüllen.
Wählen Sie OK aus.
Schließen Sie den Registrierungs-Editor.
Manuelles Entsperren eines Remotezugriffsclients
Wenn das Konto gesperrt ist, kann der Benutzer versuchen, sich erneut anzumelden, nachdem der Sperrzeitgeber abgelaufen ist. Alternativ können Sie den Wert "DomainName:UserName " im folgenden Registrierungsschlüssel löschen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout
Führen Sie die folgenden Schritte aus, um ein Konto manuell zu entsperren:
Wählen Sie "Start>Run" aus, geben Sie
regedit
das Feld "Öffnen " ein, und drücken Sie dann die EINGABETASTE.Suchen Sie den folgenden Registrierungsunterschlüssel, und wählen Sie ihn aus:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout
Suchen Sie den Wert "Domain Name:User Name ", und löschen Sie den Eintrag.
Schließen Sie den Registrierungs-Editor.
Testen Sie das Konto, um zu bestätigen, dass es nicht mehr gesperrt ist.
References
Weitere Informationen zur Clientsperrungsfunktion für den Remotezugriff finden Sie unter Kontosperrungsrichtlinie.