Configurare il blocco dell'account client di accesso remoto
Questo articolo descrive come configurare la funzionalità di blocco dell'account client di accesso remoto.
Si applica a: Windows Server 2019, Windows 10 - tutte le edizioni
Numero KB originale: 816118
Importante
In questo articolo sono contenute informazioni relative alla modifica del Registro di sistema. Prima di modificare il Registro di sistema, assicurarsi di eseguirne il backup e verificare di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, consultare Descrizione delle informazioni del Registro di sistema di Windows per gli utenti esperti.
Riepilogo
I client di accesso remoto includono i client vpn (Direct Dial-In) e VPN (Virtual Private Network).
È possibile usare la funzionalità di blocco dell'account di accesso remoto per specificare l'impostazione seguente:
Quante volte un'autenticazione di accesso remoto deve avere esito negativo su un account utente valido prima che all'utente venga negato l'accesso.
Un utente malintenzionato può provare ad accedere a un'organizzazione tramite l'accesso remoto inviando credenziali (nome utente valido, password individuata) durante il processo di autenticazione della connessione VPN. Durante un attacco con dizionario, l'utente malintenzionato invia centinaia o migliaia di credenziali. A tale scopo, l'utente malintenzionato usa un elenco di password basato su parole o frasi comuni.
Il vantaggio dell'attivazione del blocco dell'account è che gli attacchi di forza bruta, ad esempio un attacco con dizionario, non hanno esito positivo. È perché, almeno statisticamente, l'account viene bloccato molto prima che una password emessa in modo casuale sia probabilmente corretta. Un utente malintenzionato può comunque creare una condizione denial of service che blocca intenzionalmente gli account utente.
Configurare la funzionalità di blocco dell'account client di accesso remoto
La funzionalità di blocco dell'account di accesso remoto viene gestita separatamente dalle impostazioni di blocco dell'account. Le impostazioni di blocco dell'account vengono mantenute in Utenti e computer di Active Directory. Le impostazioni di blocco dell'accesso remoto vengono controllate modificando manualmente il Registro di sistema. Queste impostazioni non distinguono tra un utente legittimo che digita erroneamente una password e un utente malintenzionato che tenta di decifrare un account.
Gli amministratori del server di accesso remoto controllano due funzionalità di blocco dell'accesso remoto:
- Numero di tentativi non riusciti prima che vengano negati i tentativi futuri.
- Frequenza di reimpostazione del contatore dei tentativi non riusciti.
Se si usa l'autenticazione di Windows nel server di accesso remoto, configurare il Registro di sistema nel server di accesso remoto. Se si usa RADIUS per l'autenticazione di accesso remoto, configurare il Registro di sistema nel server di autenticazione Internet (IAS).
Attivare il blocco dell'account client di accesso remoto
Avviso
If you use Registry Editor incorrectly, you may cause serious problems that may require you to reinstall your operating system. Microsoft cannot guarantee that you can solve problems that result from using Registry Editor incorrectly. Use Registry Editor at your own risk.
Il contatore dei tentativi non riusciti viene reimpostato periodicamente su zero (0). Viene automaticamente reimpostato su zero dopo il tempo di reimpostazione nella situazione seguente:
Un account viene bloccato dopo il numero massimo di tentativi non riusciti.
Per attivare il blocco e l'ora di reimpostazione dell'account client di accesso remoto, seguire questa procedura:
Selezionare Avvia>esecuzione, digitare
regeditnella casella Apri e quindi premere INVIO.Individuare e selezionare la seguente chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockoutFare doppio clic sul valore MaxDenials .
Il valore predefinito è zero. Indica che il blocco dell'account è disattivato. Digitare il numero di tentativi non riusciti prima di voler bloccare l'account.
Selezionare OK.
Fare doppio clic sul valore ResetTime (mins).
Il valore predefinito è 0xb40 esadecimale per 2.880 minuti (due giorni). Modificare questo valore per soddisfare i requisiti di sicurezza di rete.
Selezionare OK.
Chiudere l'editor del Registro di sistema.
Sbloccare manualmente un client di accesso remoto
Se l'account è bloccato, l'utente può provare a eseguire di nuovo l'accesso dopo l'esaurimento del timer di blocco. In alternativa, è possibile eliminare il valore DomainName:UserName nella chiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout
Per sbloccare manualmente un account, seguire questa procedura:
Selezionare Avvia>esecuzione, digitare
regeditnella casella Apri e quindi premere INVIO.Individuare e selezionare la seguente chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockoutTrovare il valore Domain Name:User Name e quindi eliminare la voce.
Chiudere l'editor del Registro di sistema.
Testare l'account per verificare che non sia più bloccato.
Riferimenti
Per altre informazioni sulla funzionalità di blocco client di accesso remoto, vedere Criteri di blocco dell'account.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per