Udostępnij za pośrednictwem

Konfigurowanie blokady konta klienta dostępu zdalnego

W tym artykule opisano sposób konfigurowania funkcji blokady konta klienta dostępu zdalnego.

Dotyczy: Windows Server 2019, Windows 10 — wszystkie wersje
Oryginalny numer KB: 816118

Ważne

Niniejszy artykuł zawiera informacje dotyczące modyfikowania rejestru. Przed zmodyfikowaniem rejestru upewnij się, że jest on kopią zapasową i upewnij się, że rozumiesz sposób przywracania rejestru w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowej, przywracania i modyfikowania rejestru, zobacz artykuł Informacje dotyczące rejestru systemu Windows dla zaawansowanych użytkowników.

Podsumowanie

Klienci dostępu zdalnego obejmują klientów korzystających z połączeń bezpośrednich i wirtualnych sieci prywatnych (VPN).

Możesz użyć funkcji blokady konta dostępu zdalnego, aby określić następujące ustawienie:

Ile razy uwierzytelnianie dostępu zdalnego musi zakończyć się niepowodzeniem względem prawidłowego konta użytkownika przed odmową dostępu.

Osoba atakująca może spróbować uzyskać dostęp do organizacji za pośrednictwem dostępu zdalnego, wysyłając poświadczenia (prawidłową nazwę użytkownika, odgadnięcie hasła) podczas procesu uwierzytelniania połączenia sieci VPN. Podczas ataku słownikowego atakujący wysyła setki lub tysiące poświadczeń. Osoba atakująca korzysta z listy haseł opartych na typowych słowach lub frazach.

Zaletą aktywowania blokady konta jest to, że ataki siłowe, takie jak atak słownikowy, prawdopodobnie nie powiedzie się. Jest to spowodowane tym, że przynajmniej statystycznie konto jest zablokowane na długo, zanim losowo wystawione hasło będzie prawdopodobnie poprawne. Osoba atakująca nadal może utworzyć warunek odmowy usługi, który celowo blokuje konta użytkowników.

Konfigurowanie funkcji blokady konta klienta dostępu zdalnego

Funkcja blokady konta dostępu zdalnego jest zarządzana oddzielnie od ustawień blokady konta. Ustawienia blokady konta są zachowywane w Użytkownicy i komputery usługi Active Directory. Ustawienia blokady dostępu zdalnego są kontrolowane przez ręczne edytowanie rejestru. Te ustawienia nie rozróżniają uprawnionego użytkownika, który błędnie wpisze hasło, a osoba atakująca, która próbuje złamać konto.

Administratorzy serwera dostępu zdalnego kontrolują dwie funkcje blokady dostępu zdalnego:

  • Liczba nieudanych prób przed odmową przyszłych prób.
  • Częstotliwość resetowania licznika nieudanych prób.

Jeśli używasz uwierzytelniania systemu Windows na serwerze dostępu zdalnego, skonfiguruj rejestr na serwerze dostępu zdalnego. Jeśli używasz usługi RADIUS do uwierzytelniania dostępu zdalnego, skonfiguruj rejestr na serwerze IAS (Internet Authentication Server).

Aktywowanie blokady konta klienta dostępu zdalnego

Ostrzeżenie

Nieprawidłowe korzystanie z Edytora rejestru może stać się przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora rejestru będzie możliwe. Używanie Edytora rejestru odbywa się na własną odpowiedzialność.

Licznik nieudanych prób jest okresowo resetowany do zera (0). Jest on automatycznie resetowany do zera po czasie resetowania w następującej sytuacji:

Konto jest zablokowane po maksymalnej liczbie nieudanych prób.

Aby aktywować blokadę konta klienta dostępu zdalnego i zresetować czas, wykonaj następujące kroki:

  1. Wybierz pozycję Uruchom uruchom>, wpisz regedit w polu Otwórz, a następnie naciśnij ENTER.

  2. Odszukaj i wybierz następujący podklucz rejestru:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. Kliknij dwukrotnie wartość MaxDenials.

    Wartość domyślna to zero. Wskazuje, że blokada konta jest wyłączona. Wpisz liczbę nieudanych prób przed zablokowaniem konta.

  4. Wybierz przycisk OK.

  5. Kliknij dwukrotnie wartość ResetTime (min).

    Wartość domyślna to 0xb40 , która jest szesnastkowa przez 2880 minut (dwa dni). Zmodyfikuj tę wartość, aby spełniała wymagania dotyczące zabezpieczeń sieci.

  6. Wybierz przycisk OK.

  7. Zamknij Edytor rejestru.

Ręczne odblokowywanie klienta dostępu zdalnego

Jeśli konto jest zablokowane, użytkownik może spróbować zalogować się ponownie po zakończeniu czasomierza blokady. Możesz też usunąć wartość DomainName:UserName w następującym kluczu rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

Aby ręcznie odblokować konto, wykonaj następujące kroki:

  1. Wybierz pozycję Uruchom uruchom>, wpisz regedit w polu Otwórz, a następnie naciśnij ENTER.

  2. Odszukaj i wybierz następujący podklucz rejestru:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. Znajdź wartość Nazwa domeny:Nazwa użytkownika, a następnie usuń wpis.

  4. Zamknij Edytor rejestru.

  5. Przetestuj konto, aby potwierdzić, że nie jest już zablokowane.

Informacje

Aby uzyskać więcej informacji na temat funkcji blokady klienta dostępu zdalnego, zobacz Zasady blokady konta.