Compartilhar via


Configurar o bloqueio de conta de cliente de acesso remoto

Este artigo descreve como configurar o recurso de bloqueio de conta de cliente de acesso remoto.

Aplica-se a: Windows Server 2019, Windows 10 - todas as edições
Número original do KB: 816118

Importante

Este artigo contém informações sobre como modificar o Registro. Antes de modificar o Registro, certifique-se de fazer o backup e de que saiba restaurá-lo caso ocorra algum problema. Para obter mais informações sobre como fazer backup do Registro, restaurá-lo e modificá-lo, consulte Informações do Registro do Windows para usuários avançados.

Resumo

Os clientes de acesso remoto incluem clientes de discagem direta e VPN (rede virtual privada).

Você pode usar o recurso de bloqueio de conta de acesso remoto para especificar a seguinte configuração:

Quantas vezes uma autenticação de acesso remoto precisa falhar em uma conta de usuário válida antes que o acesso seja negado ao usuário.

Um invasor pode tentar acessar uma organização por meio de acesso remoto enviando credenciais (nome de usuário válido, senha adivinhada) durante o processo de autenticação de conexão VPN. Durante um ataque de dicionário, o invasor envia centenas ou milhares de credenciais. O invasor faz isso usando uma lista de senhas com base em palavras ou frases comuns.

A vantagem de ativar o bloqueio de conta é que os ataques de força bruta, como um ataque de dicionário, provavelmente não serão bem-sucedidos. É porque, pelo menos estatisticamente, a conta é bloqueada muito antes de uma senha emitida aleatoriamente estar correta. Um invasor ainda pode criar uma condição de negação de serviço que bloqueia intencionalmente as contas de usuário.

Configurar o recurso de bloqueio de conta de cliente de acesso remoto

O recurso de bloqueio de conta de acesso remoto é gerenciado separadamente das configurações de bloqueio de conta. As configurações de bloqueio de conta são mantidas em Usuários e Computadores do Active Directory. As configurações de bloqueio de acesso remoto são controladas editando manualmente o Registro. Essas configurações não distinguem entre um usuário legítimo que digita incorretamente uma senha e um invasor que tenta invadir uma conta.

Os administradores de servidor de acesso remoto controlam dois recursos do bloqueio de acesso remoto:

  • O número de tentativas com falha antes que tentativas futuras sejam negadas.
  • A frequência com que o contador de tentativas com falha é redefinido.

Se você usar a Autenticação do Windows no servidor de acesso remoto, configure o Registro no servidor de acesso remoto. Se você usar o RADIUS para autenticação de acesso remoto, configure o Registro no IAS (Servidor de Autenticação da Internet).

Ativar o bloqueio de conta de cliente de acesso remoto

Aviso

Se o Editor do Registro for usado incorretamente, você pode causar sérios problemas que podem exigir que você reinstale o sistema operacional. A Microsoft não garante que você possa resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.

O contador de tentativas com falha é periodicamente redefinido para zero (0). Ele é redefinido automaticamente para zero após o tempo de redefinição na seguinte situação:

Uma conta é bloqueada após o número máximo de tentativas malsucedidas.

Para ativar o bloqueio da conta do cliente de acesso remoto e redefinir o tempo, siga estas etapas:

  1. Selecione Iniciar>execução, digite regedit na caixa Abrir e pressione ENTER.

  2. Localize e selecione a seguinte chave de Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. Clique duas vezes no valor MaxDenials .

    O valor padrão é zero. Isso indica que o bloqueio de conta está desativado. Digite o número de tentativas com falha antes de querer que a conta seja bloqueada.

  4. Selecione OK.

  5. Clique duas vezes no valor ResetTime (mins).

    O valor padrão é 0xb40 hexadecimal por 2.880 minutos (dois dias). Modifique esse valor para atender aos requisitos de segurança de rede.

  6. Selecione OK.

  7. Feche o Editor do Registro.

Desbloquear manualmente um cliente de acesso remoto

Se a conta estiver bloqueada, o usuário poderá tentar fazer logon novamente depois que o temporizador de bloqueio acabar. Ou você pode excluir o valor DomainName:UserName na seguinte chave do Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

Para desbloquear manualmente uma conta, siga estas etapas:

  1. Selecione Iniciar>execução, digite regedit na caixa Abrir e pressione ENTER.

  2. Localize e selecione a seguinte chave de Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. Localize o valor Nome de domínio:Nome de usuário e exclua a entrada.

  4. Feche o Editor do Registro.

  5. Teste a conta para confirmar se ela não está mais bloqueada.

Referências

Para obter mais informações sobre o recurso de bloqueio de cliente de acesso remoto, consulte Diretiva de Bloqueio de Conta.