本文介绍如何配置远程访问客户端帐户锁定功能。
适用于: Windows Server 2019、Windows 10 - 所有版本
原始 KB 数: 816118
重要
本文包含有关修改注册表的信息。 在修改注册表之前,请务必备份注册表并确保您知晓如何在出现问题时还原注册表。 有关如何备份、还原和编辑注册表的详细信息,请参阅 适用于高级用户的 Windows 注册表信息。
总结
远程访问客户端包括直接拨入和虚拟专用网络(VPN)客户端。
可以使用远程访问帐户锁定功能指定以下设置:
在拒绝用户访问之前,远程访问身份验证必须针对有效用户帐户失败的次数。
攻击者可以在 VPN 连接身份验证过程中通过发送凭据(有效的用户名、猜出的密码)来尝试通过远程访问访问组织。 在字典攻击期间,攻击者发送数百或数千个凭据。 攻击者通过使用基于常见字词或短语的密码列表来执行此操作。
激活帐户锁定的优点是暴力攻击(如字典攻击)不太可能成功。 这是因为至少从统计上说,在随机颁发的密码可能正确之前,该帐户被锁定很久。 攻击者仍然可以创建故意锁定用户帐户的拒绝服务条件。
配置远程访问客户端帐户锁定功能
远程访问帐户锁定功能独立于帐户锁定设置进行管理。 帐户锁定设置在Active Directory 用户和计算机中维护。 远程访问锁定设置通过手动编辑注册表来控制。 这些设置不区分键入密码的合法用户和尝试破解帐户的攻击者。
远程访问服务器管理员控制远程访问锁定的两项功能:
- 在将来的尝试被拒绝之前失败的尝试次数。
- 重置失败的尝试计数器的频率。
如果在远程访问服务器上使用 Windows 身份验证,请在远程访问服务器上配置注册表。 如果使用 RADIUS 进行远程访问身份验证,请在 Internet 身份验证服务器(IAS)上配置注册表。
激活远程访问客户端帐户锁定
警告
如果注册表编辑器使用不当,则可能会产生严重问题,导致重新安装操作系统。 Microsoft 无法保证可以解决因注册表编辑器使用不当而造成的问题。 请慎用注册表编辑器,风险自负。
失败的尝试计数器定期重置为零(0)。 在以下情况下,重置时间后,它会自动重置为零:
在尝试失败的最大次数后,帐户被锁定。
若要激活远程访问客户端帐户锁定和重置时间,请执行以下步骤:
选择“开始>运行”,在
regedit“打开”框中键入,然后按 Enter。找到并选择以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout双击 MaxDenials 值。
默认值为零。 它指示帐户锁定已关闭。 在希望帐户被锁定之前,键入失败尝试次数。
选择“确定”。
双击 ResetTime (分钟) 值。
默认值为 2,880 分钟(两天)的十六进制值0xb40。 修改此值以满足网络安全要求。
选择“确定”。
退出注册表编辑器。
手动解锁远程访问客户端
如果帐户被锁定,用户可以尝试在锁定计时器用完后再次登录。或者,可以在以下注册表项中删除 DomainName:UserName 值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout
若要手动解锁帐户,请执行以下步骤:
选择“开始>运行”,在
regedit“打开”框中键入,然后按 Enter。找到并选择以下注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout找到“域名:用户名”值,然后删除该条目。
退出注册表编辑器。
测试帐户以确认它不再被锁定。
参考
有关远程访问客户端锁定功能的详细信息,请参阅 帐户锁定策略。