Настройка блокировки учетной записи клиента удаленного доступа

В этой статье описывается настройка функции блокировки учетной записи клиента удаленного доступа.

Область применения: Windows Server 2019, Windows 10 — все выпуски
Исходный номер базы знаний: 816118

Внимание

В этой статье содержатся сведения об изменении реестра. Перед изменением реестра рекомендуется создать его резервную копию и изучить процедуру восстановления реестра в случае возникновения проблемы. Для получения дополнительной информации о том, как создать резервную копию, восстановить и изменить реестр, см. раздел Сведения о реестре Windows для опытных пользователей.

Итоги

Клиенты удаленного доступа включают в себя клиенты прямого подключения и виртуальной частной сети (VPN).

Вы можете использовать функцию блокировки учетной записи удаленного доступа, чтобы указать следующий параметр:

Сколько раз проверка подлинности удаленного доступа должна завершиться ошибкой для допустимой учетной записи пользователя, прежде чем пользователь отказывается от доступа.

Злоумышленник может попытаться получить доступ к организации через удаленный доступ, отправив учетные данные (допустимое имя пользователя, угаданный пароль) во время процесса проверки подлинности VPN-подключения. Во время атаки словаря злоумышленник отправляет сотни или тысячи учетных данных. Злоумышленник делает это с помощью списка паролей на основе распространенных слов или фраз.

Преимущество активации блокировки учетной записи заключается в том, что атаки подбора, такие как атака словаря, вряд ли будут успешными. Это потому, что статистически, по крайней мере, учетная запись заблокирована до случайно выданного пароля, скорее всего, будет правильной. Злоумышленник по-прежнему может создать условие отказа в обслуживании, которое намеренно блокирует учетные записи пользователей.

Настройка функции блокировки учетной записи клиента удаленного доступа

Функция блокировки учетной записи удаленного доступа управляется отдельно от параметров блокировки учетной записи. Параметры блокировки учетной записи сохраняются в Пользователи и компьютеры Active Directory. Параметры блокировки удаленного доступа управляются вручную путем редактирования реестра. Эти параметры не отличаются от законного пользователя, который неправильно вводит пароль и злоумышленника, который пытается взломать учетную запись.

Администраторы сервера удаленного доступа управляют двумя функциями блокировки удаленного доступа:

• Число неудачных попыток до того, как будущие попытки будут отклонены.
• Как часто сбрасывается счетчик неудачных попыток.

Если вы используете проверку подлинности Windows на сервере удаленного доступа, настройте реестр на сервере удаленного доступа. Если вы используете RADIUS для проверки подлинности удаленного доступа, настройте реестр на сервере проверки подлинности Интернета (IAS).

Активация блокировки учетной записи клиента удаленного доступа

Предупреждение

Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.

Счетчик неудачных попыток периодически сбрасывается до нуля (0). Он автоматически сбрасывается до нуля после времени сброса в следующей ситуации:

Учетная запись заблокирована после максимального количества неудачных попыток.

Чтобы активировать блокировку учетной записи клиента удаленного доступа и время сброса, выполните следующие действия.

1. Нажмите кнопку "Запустить", введите regedit в поле "Открыть>" и нажмите клавишу ВВОД.

2. Найдите и выделите следующий раздел реестра:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

3. Дважды щелкните значение MaxDenials .

   Значение по умолчанию равно нулю. Это означает, что блокировка учетной записи отключена. Введите количество неудачных попыток перед блокировкой учетной записи.

4. Нажмите кнопку ОК.

5. Дважды щелкните значение ResetTime (mins).

   Значение по умолчанию — 0xb40 шестнадцатеричным в течение 2880 минут (два дня). Измените это значение в соответствии с требованиями к безопасности сети.

6. Нажмите кнопку ОК.

7. Закройте редактор реестра.

Разблокировка клиента удаленного доступа вручную

Если учетная запись заблокирована, пользователь может попытаться войти снова после завершения таймера блокировки. Также можно удалить значение DomainName:UserName в следующем разделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

Чтобы вручную разблокировать учетную запись, выполните следующие действия.

1. Нажмите кнопку "Запустить", введите regedit в поле "Открыть>" и нажмите клавишу ВВОД.

2. Найдите и выделите следующий раздел реестра:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

3. Найдите значение доменного имени:Имя пользователя и удалите запись.

4. Закройте редактор реестра.

5. Проверьте учетную запись, чтобы убедиться, что она больше не заблокирована.

Ссылки

Дополнительные сведения о функции блокировки клиента удаленного доступа см. в статье "Политика блокировки учетной записи".