Configurer le verrouillage du compte client d’accès à distance
Cet article explique comment configurer la fonctionnalité de verrouillage de compte client d’accès à distance.
S’applique à : Windows Server 2019, Windows 10 - toutes les éditions
Numéro de la base de connaissances d’origine : 816118
Importante
Cet article contient des informations sur la modification du Registre. Avant d’effectuer cette opération, veillez à sauvegarder le Registre et à bien comprendre comment le restaurer en cas de problème. Pour plus d’informations sur la sauvegarde, la restauration et la modification du Registre, consultez l’article Informations sur le Registre Windows destinées aux utilisateurs expérimentés.
Résumé
Les clients d’accès à distance incluent les clients de connexion directe et de réseau privé virtuel (VPN).
Vous pouvez utiliser la fonctionnalité de verrouillage de compte d’accès à distance pour spécifier le paramètre suivant :
Nombre d’échecs d’une authentification d’accès à distance sur un compte d’utilisateur valide avant que l’utilisateur ne se voit refuser l’accès.
Un attaquant peut essayer d’accéder à un organization via l’accès à distance en envoyant des informations d’identification (nom d’utilisateur valide, mot de passe deviné) pendant le processus d’authentification de connexion VPN. Lors d’une attaque par dictionnaire, l’attaquant envoie des centaines ou des milliers d’informations d’identification. Pour ce faire, l’attaquant utilise une liste de mots de passe basés sur des mots ou expressions courants.
L’avantage de l’activation du verrouillage de compte est que les attaques par force brute, telles qu’une attaque par dictionnaire, ont peu de chances de réussir. C’est parce que statistiquement au moins, le compte est verrouillé longtemps avant qu’un mot de passe émis de manière aléatoire soit susceptible d’être correct. Un attaquant peut toujours créer une condition de déni de service qui verrouille intentionnellement les comptes d’utilisateur.
Configurer la fonctionnalité de verrouillage de compte client d’accès à distance
La fonctionnalité de verrouillage de compte d’accès à distance est gérée séparément des paramètres de verrouillage de compte. Les paramètres de verrouillage de compte sont conservés dans Utilisateurs et ordinateurs Active Directory. Les paramètres de verrouillage d’accès à distance sont contrôlés en modifiant manuellement le Registre. Ces paramètres ne font pas la distinction entre un utilisateur légitime qui tape mal un mot de passe et un attaquant qui tente de déchiffrer un compte.
Les administrateurs de serveur d’accès à distance contrôlent deux fonctionnalités du verrouillage d’accès à distance :
- Nombre de tentatives ayant échoué avant que les tentatives ultérieures ne soient refusées.
- Fréquence à laquelle le compteur de tentatives ayant échoué est réinitialisé.
Si vous utilisez l’authentification Windows sur le serveur d’accès à distance, configurez le Registre sur le serveur d’accès à distance. Si vous utilisez RADIUS pour l’authentification d’accès à distance, configurez le Registre sur le serveur d’authentification Internet (IAS).
Activer le verrouillage du compte client d’accès à distance
Avertissement
Toute mauvaise utilisation de l’Éditeur du Registre risque de générer de graves problèmes, pouvant vous obliger à réinstaller votre système d’exploitation. Microsoft ne peut garantir que les problèmes résultant d’une mauvaise utilisation de l’Éditeur du Registre puissent être résolus. Vous assumez l’ensemble des risques liés à l’utilisation de cet outil.
Le compteur de tentatives ayant échoué est périodiquement réinitialisé à zéro (0). Il est automatiquement réinitialisé à zéro après l’heure de réinitialisation dans la situation suivante :
Un compte est verrouillé après le nombre maximal de tentatives ayant échoué.
Pour activer le verrouillage et la réinitialisation du compte client d’accès à distance, procédez comme suit :
Sélectionnez Démarrer>l’exécution, tapez
regeditdans la zone Ouvrir , puis appuyez sur Entrée.Recherchez et sélectionnez la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockoutDouble-cliquez sur la valeur MaxDenials .
La valeur par défaut est 0. Cela indique que le verrouillage du compte est désactivé. Tapez le nombre de tentatives ayant échoué avant que le compte soit verrouillé.
Sélectionnez OK.
Double-cliquez sur la valeur ResetTime (mins).
La valeur par défaut est 0xb40 hexadécimale pendant 2 880 minutes (deux jours). Modifiez cette valeur pour répondre à vos exigences de sécurité réseau.
Sélectionnez OK.
Quittez l’Éditeur du Registre.
Déverrouiller manuellement un client d’accès à distance
Si le compte est verrouillé, l’utilisateur peut essayer de se reconnecter après l’expiration du minuteur de verrouillage. Vous pouvez également supprimer la valeur DomainName :UserName dans la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout
Pour déverrouiller manuellement un compte, procédez comme suit :
Sélectionnez Démarrer>l’exécution, tapez
regeditdans la zone Ouvrir , puis appuyez sur Entrée.Recherchez et sélectionnez la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockoutRecherchez la valeur Nom de domaine :Nom d’utilisateur , puis supprimez l’entrée.
Quittez l’Éditeur du Registre.
Testez le compte pour vérifier qu’il n’est plus verrouillé.
References
Pour plus d’informations sur la fonctionnalité de verrouillage du client d’accès à distance, consultez Stratégie de verrouillage de compte.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour