Durata blocco account

Si applica a

  • Windows 11
  • Windows 10

Vengono descritte le procedure consigliate, la posizione, i valori e le considerazioni sulla sicurezza per l'impostazione dei criteri di sicurezza Durata blocco account .

Riferimento

L'impostazione dei criteri durata blocco account determina il numero di minuti in cui un account bloccato rimane bloccato prima di essere sbloccato automaticamente. L'intervallo disponibile è compreso tra 1 e 99.999 minuti. Il valore 0 specifica che l'account verrà bloccato fino a quando un amministratore non lo sblocca in modo esplicito. Se la soglia di blocco dell'account è impostata su un numero maggiore di zero, la durata del blocco dell'account deve essere maggiore o uguale al valore di Reimposta contatore di blocco dell'account dopo. Questa impostazione di criterio dipende dall'impostazione dei criteri di soglia di blocco dell'account definita e deve essere maggiore o uguale al valore specificato per l'impostazione Reimposta contatore blocco account dopo il criterio.

Valori possibili

  • Numero di minuti definito dall'utente compreso tra 0 e 99.999
  • Non definito

Se è configurata la soglia di blocco dell'account, dopo il numero specificato di tentativi non riusciti, l'account verrà bloccato. Se la durata del blocco dell'account è impostata su 0, l'account rimarrà bloccato fino a quando un amministratore non lo sblocca manualmente.

È consigliabile impostare la durata del blocco dell'account su circa 15 minuti. Per specificare che l'account non verrà mai bloccato, impostare il valore soglia di blocco account su 0.

Location

Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri password

Valori predefiniti

Nella tabella seguente sono elencati i valori dei criteri predefiniti effettivi ed effettivi. I valori predefiniti sono elencati anche nella pagina delle proprietà del criterio.

Tipo di server o oggetto Criteri di gruppo (OGGETTO Criteri di gruppo) Valore predefinito
Criteri di dominio predefiniti Non definito
Criteri del controller di dominio predefiniti Non definito
Impostazioni predefinite del server autonomo Non applicabile
Impostazioni predefinite valide per il controller di dominio Non definito
Impostazioni predefinite valide per il server membro Non definito
Impostazioni predefinite valide per il computer client Non applicabile

Considerazioni sulla sicurezza

Più di alcuni invii di password non riusciti durante un tentativo di accesso a un computer potrebbero rappresentare i tentativi di un utente malintenzionato di determinare una password dell'account per valutazione ed errore. I sistemi operativi Windows e Windows Server possono tenere traccia dei tentativi di accesso ed è possibile configurare il sistema operativo per disabilitare l'account per un periodo di tempo predefinito dopo un numero specificato di tentativi non riusciti. Le impostazioni dei criteri di blocco dell'account controllano la soglia per questa risposta e l'azione da intraprendere dopo il raggiungimento della soglia.

Vulnerabilità

È possibile creare una condizione Denial of Service (DoS) se un utente malintenzionato abusa dell'impostazione dei criteri di soglia di blocco dell'account e tenta ripetutamente di accedere con un account specifico. Dopo aver configurato l'impostazione dei criteri di soglia di blocco dell'account, l'account verrà bloccato dopo il numero specificato di tentativi non riusciti. Se si configura l'impostazione del criterio durata blocco account su 0, l'account rimane bloccato fino a quando non viene sbloccato manualmente.

Contromisura

Configurare l'impostazione dei criteri durata blocco account su un valore appropriato per l'ambiente. Per specificare che l'account rimarrà bloccato fino a quando non viene sbloccato manualmente, configurare il valore su 0. Quando l'impostazione dei criteri durata blocco account è configurata su un valore diverso da zero, i tentativi automatici di indovinare le password dell'account vengono ritardati per questo intervallo prima di riprendere i tentativi su un account specifico. L'uso di questa impostazione in combinazione con l'impostazione dei criteri di soglia di blocco dell'account rende più difficili i tentativi di individuazione automatica delle password.

Impatto potenziale

La configurazione dell'impostazione dei criteri durata blocco account su 0 in modo che gli account non possano essere sbloccati automaticamente può aumentare il numero di richieste ricevute dall'Help Desk dell'organizzazione per sbloccare gli account bloccati per errore.

Criteri di blocco account