Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como configurar o recurso de bloqueio de conta de cliente de acesso remoto.
Aplica-se a: Windows Server 2019, Windows 10 - todas as edições
Número original do KB: 816118
Importante
Este artigo contém informações sobre como modificar o Registro. Antes de modificar o Registro, certifique-se de fazer o backup e de que saiba restaurá-lo caso ocorra algum problema. Para obter mais informações sobre como fazer backup do Registro, restaurá-lo e modificá-lo, consulte Informações do Registro do Windows para usuários avançados.
Resumo
Os clientes de acesso remoto incluem clientes de discagem direta e VPN (rede virtual privada).
Você pode usar o recurso de bloqueio de conta de acesso remoto para especificar a seguinte configuração:
Quantas vezes uma autenticação de acesso remoto precisa falhar em uma conta de usuário válida antes que o acesso seja negado ao usuário.
Um invasor pode tentar acessar uma organização por meio de acesso remoto enviando credenciais (nome de usuário válido, senha adivinhada) durante o processo de autenticação de conexão VPN. Durante um ataque de dicionário, o invasor envia centenas ou milhares de credenciais. O invasor faz isso usando uma lista de senhas com base em palavras ou frases comuns.
A vantagem de ativar o bloqueio de conta é que os ataques de força bruta, como um ataque de dicionário, provavelmente não serão bem-sucedidos. É porque, pelo menos estatisticamente, a conta é bloqueada muito antes de uma senha emitida aleatoriamente estar correta. Um invasor ainda pode criar uma condição de negação de serviço que bloqueia intencionalmente as contas de usuário.
Configurar o recurso de bloqueio de conta de cliente de acesso remoto
O recurso de bloqueio de conta de acesso remoto é gerenciado separadamente das configurações de bloqueio de conta. As configurações de bloqueio de conta são mantidas em Usuários e Computadores do Active Directory. As configurações de bloqueio de acesso remoto são controladas editando manualmente o Registro. Essas configurações não distinguem entre um usuário legítimo que digita incorretamente uma senha e um invasor que tenta invadir uma conta.
Os administradores de servidor de acesso remoto controlam dois recursos do bloqueio de acesso remoto:
- O número de tentativas com falha antes que tentativas futuras sejam negadas.
- A frequência com que o contador de tentativas com falha é redefinido.
Se você usar a Autenticação do Windows no servidor de acesso remoto, configure o Registro no servidor de acesso remoto. Se você usar o RADIUS para autenticação de acesso remoto, configure o Registro no IAS (Servidor de Autenticação da Internet).
Ativar o bloqueio de conta de cliente de acesso remoto
Aviso
Se o Editor do Registro for usado incorretamente, você pode causar sérios problemas que podem exigir que você reinstale o sistema operacional. A Microsoft não garante que você possa resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.
O contador de tentativas com falha é periodicamente redefinido para zero (0). Ele é redefinido automaticamente para zero após o tempo de redefinição na seguinte situação:
Uma conta é bloqueada após o número máximo de tentativas malsucedidas.
Para ativar o bloqueio da conta do cliente de acesso remoto e redefinir o tempo, siga estas etapas:
Selecione Iniciar>execução, digite
regedit
na caixa Abrir e pressione ENTER.Localize e selecione a seguinte chave de Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout
Clique duas vezes no valor MaxDenials .
O valor padrão é zero. Isso indica que o bloqueio de conta está desativado. Digite o número de tentativas com falha antes de querer que a conta seja bloqueada.
Selecione OK.
Clique duas vezes no valor ResetTime (mins).
O valor padrão é 0xb40 hexadecimal por 2.880 minutos (dois dias). Modifique esse valor para atender aos requisitos de segurança de rede.
Selecione OK.
Feche o Editor do Registro.
Desbloquear manualmente um cliente de acesso remoto
Se a conta estiver bloqueada, o usuário poderá tentar fazer logon novamente depois que o temporizador de bloqueio acabar. Ou você pode excluir o valor DomainName:UserName na seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout
Para desbloquear manualmente uma conta, siga estas etapas:
Selecione Iniciar>execução, digite
regedit
na caixa Abrir e pressione ENTER.Localize e selecione a seguinte chave de Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout
Localize o valor Nome de domínio:Nome de usuário e exclua a entrada.
Feche o Editor do Registro.
Teste a conta para confirmar se ela não está mais bloqueada.
Referências
Para obter mais informações sobre o recurso de bloqueio de cliente de acesso remoto, consulte Diretiva de Bloqueio de Conta.