次の方法で共有

リモート アクセス クライアント アカウントのロックアウトを構成する

この記事では、リモート アクセス クライアント アカウントロックアウト機能を構成する方法について説明します。

適用対象: Windows Server 2019、Windows 10 - すべてのエディション
元の KB 番号: 816118

重要

この記事には、レジストリの変更に関する情報が含まれています。 レジストリを変更する前に、レジストリのバックアップを必ず作成し、問題が発生した場合にレジストリを復元する方法について確実に理解しておいてください。 レジストリをバックアップ、復元、および編集する方法の詳細については、「上級ユーザー向けの Windows レジストリ情報」を参照してください。

まとめ

リモート アクセス クライアントには、ダイレクト ダイヤルインクライアントと仮想プライベート ネットワーク (VPN) クライアントが含まれます。

リモート アクセス アカウントロックアウト機能を使用して、次の設定を指定できます。

ユーザーがアクセスを拒否されるまでに、有効なユーザー アカウントに対してリモート アクセス認証が失敗する必要がある回数。

攻撃者は、VPN 接続認証プロセス中に資格情報 (有効なユーザー名、推測されたパスワード) を送信することで、リモート アクセスを通じて組織にアクセスしようとする可能性があります。 辞書攻撃中、攻撃者は数百または数千の資格情報を送信します。 攻撃者は、一般的な単語または語句に基づいてパスワードの一覧を使用してこれを行います。

アカウント ロックアウトをアクティブ化する利点は、辞書攻撃などのブルート フォース攻撃が成功する可能性が低いということです。 これは、少なくとも統計的に、ランダムに発行されたパスワードが正しい可能性が高くなるずっと前にアカウントがロックアウトされるためです。 攻撃者は、ユーザー アカウントを意図的にロックアウトするサービス拒否条件を引き続き作成できます。

リモート アクセス クライアント アカウントロックアウト機能を構成する

リモート アクセス アカウントロックアウト機能は、アカウント ロックアウト設定とは別に管理されます。 アカウントロックアウトの設定は、Active Directory ユーザーとコンピューターで保持されます。 リモート アクセスロックアウト設定は、レジストリを手動で編集することによって制御されます。 これらの設定では、パスワードを誤って入力した正当なユーザーと、アカウントを解読しようとする攻撃者は区別されません。

リモート アクセス サーバー管理者は、リモート アクセス ロックアウトの 2 つの機能を制御します。

  • 今後の試行が拒否されるまでに失敗した試行の数。
  • 失敗した試行カウンターがリセットされる頻度。

リモート アクセス サーバーで Windows 認証を使用する場合は、リモート アクセス サーバーでレジストリを構成します。 リモート アクセス認証に RADIUS を使用する場合は、インターネット認証サーバー (IAS) でレジストリを構成します。

リモート アクセス クライアント アカウントのロックアウトをアクティブ化する

警告

レジストリ エディタの使用を誤ると、オペレーティング システムの再インストールが必要になるような深刻な問題を引き起こす可能性があります。 レジストリ エディターの不適切な使用によって生じた問題については、解決を保証できません。 リスクを理解した上でレジストリ エディターを使用してください。

失敗した試行カウンターは、定期的にゼロ (0) にリセットされます。 次の状況では、リセット時刻の後に自動的に 0 にリセットされます。

失敗した試行の最大数の後、アカウントはロックアウトされます。

リモート アクセス クライアント アカウントのロックアウトとリセット時間をアクティブにするには、次の手順に従います。

  1. Start>Run を選択し、Open ボックスに「regedit」と入力し、Enter キーを押します。

  2. 次のレジストリ キーを見つけて選択します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. MaxDenials 値をダブルクリックします。

    既定値はゼロです。 アカウントのロックアウトがオフになっていることを示します。 アカウントをロックアウトする前に失敗した試行回数を入力します。

  4. [OK] を選択します。

  5. ResetTime (分)値をダブルクリックします。

    既定値は 0xb40 2,880 分 (2 日間) の 16 進数です。 ネットワーク セキュリティ要件を満たすように、この値を変更します。

  6. [OK] を選択します。

  7. レジストリ エディターを終了します。

リモート アクセス クライアントを手動でロック解除する

アカウントがロックアウトされている場合、ユーザーはロックアウト タイマーが終了した後にもう一度ログオンを試みることができます。または、次のレジストリ キーの DomainName:UserName 値を削除できます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

アカウントのロックを手動で解除するには、次の手順に従います。

  1. Start>Run を選択し、Open ボックスに「regedit」と入力し、Enter キーを押します。

  2. 次のレジストリ キーを見つけて選択します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. Domain Name:User Name 値を見つけて、エントリを削除します。

  4. レジストリ エディターを終了します。

  5. アカウントをテストして、ロックアウトされていないことを確認します。

関連情報

リモート アクセス クライアントロックアウト機能の詳細については、「 Account ロックアウト ポリシーを参照してください。