Configuración del bloqueo de la cuenta de cliente de acceso remoto

En este artículo se describe cómo configurar la característica de bloqueo de cuenta de cliente de acceso remoto.

Se aplica a: Windows Server 2019, Windows 10: todas las ediciones
Número de KB original: 816118

Importante

Este artículo contiene información sobre cómo modificar el Registro. Antes de modificarlo, asegúrese de hacer una copia de seguridad de este y de comprender cómo restaurarlo si hay un problema. Para obtener más información sobre cómo realizar una copia de seguridad, restaurar y editar el Registro, consulte Información del Registro de Windows para usuarios avanzados.

Resumen

Los clientes de acceso remoto incluyen clientes de acceso telefónico directo y de red privada virtual (VPN).

Puede usar la característica de bloqueo de cuenta de acceso remoto para especificar la siguiente configuración:

Cuántas veces una autenticación de acceso remoto tiene que producir un error en una cuenta de usuario válida antes de que se deniegue el acceso al usuario.

Un atacante puede intentar acceder a una organización a través del acceso remoto mediante el envío de credenciales (nombre de usuario válido, contraseña adivinada) durante el proceso de autenticación de la conexión VPN. Durante un ataque de diccionario, el atacante envía cientos o miles de credenciales. El atacante lo hace mediante una lista de contraseñas basadas en palabras o frases comunes.

La ventaja de activar el bloqueo de cuentas es que es poco probable que los ataques por fuerza bruta, como un ataque de diccionario, se realicen correctamente. Se debe a que estadísticamente, al menos, la cuenta se bloquea mucho antes de que sea probable que una contraseña emitida aleatoriamente sea correcta. Un atacante puede seguir creando una condición de denegación de servicio que bloquea intencionadamente las cuentas de usuario.

Configuración de la característica de bloqueo de la cuenta de cliente de acceso remoto

La característica de bloqueo de cuenta de acceso remoto se administra por separado de la configuración de bloqueo de cuenta. La configuración de bloqueo de la cuenta se mantiene en Usuarios y equipos de Active Directory. La configuración de bloqueo de acceso remoto se controla mediante la edición manual del registro. Esta configuración no distingue entre un usuario legítimo que escribe mal una contraseña y un atacante que intenta descifrar una cuenta.

Los administradores del servidor de acceso remoto controlan dos características del bloqueo de acceso remoto:

  • Número de intentos erróneos antes de que se denieguen los intentos futuros.
  • Frecuencia con la que se restablece el contador de intentos fallidos.

Si usa la autenticación de Windows en el servidor de acceso remoto, configure el Registro en el servidor de acceso remoto. Si usa RADIUS para la autenticación de acceso remoto, configure el registro en el servidor de autenticación de Internet (IAS).

Activación del bloqueo de la cuenta de cliente de acceso remoto

Advertencia

Si utiliza incorrectamente el Editor del Registro, puede causar serios problemas que tal vez requieran volver a instalar el sistema operativo. Microsoft no le garantiza que pueda solucionar los problemas que sean consecuencia del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.

El contador de intentos con errores se restablece periódicamente a cero (0). Se restablece automáticamente a cero después de la hora de restablecimiento en la siguiente situación:

Una cuenta se bloquea después del número máximo de intentos erróneos.

Para activar el bloqueo y el tiempo de restablecimiento de la cuenta de cliente de acceso remoto, siga estos pasos:

  1. Seleccione Iniciar>ejecución, escriba regedit en el cuadro Abrir y presione ENTRAR.

  2. Busque la siguiente subclave del Registro y selecciónela:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. Haga doble clic en el valor MaxDenials .

    El valor predeterminado es cero. Indica que el bloqueo de la cuenta está desactivado. Escriba el número de intentos erróneos antes de que desee bloquear la cuenta.

  4. Seleccione Aceptar.

  5. Haga doble clic en el valor ResetTime (mins).

    El valor predeterminado es 0xb40 que es hexadecimal durante 2.880 minutos (dos días). Modifique este valor para cumplir los requisitos de seguridad de red.

  6. Seleccione Aceptar.

  7. Salga del editor del Registro.

Desbloqueo manual de un cliente de acceso remoto

Si la cuenta está bloqueada, el usuario puede intentar iniciar sesión de nuevo después de que se haya agotado el temporizador de bloqueo. O bien, puede eliminar el valor DomainName:UserName en la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

Para desbloquear manualmente una cuenta, siga estos pasos:

  1. Seleccione Iniciar>ejecución, escriba regedit en el cuadro Abrir y presione ENTRAR.

  2. Busque la siguiente subclave del Registro y selecciónela:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. Busque el valor Nombre de dominio:Nombre de usuario y, a continuación, elimine la entrada.

  4. Salga del editor del Registro.

  5. Pruebe la cuenta para confirmar que ya no está bloqueada.

Referencias

Para obtener más información sobre la característica de bloqueo de cliente de acceso remoto, consulte Directiva de bloqueo de cuenta.