Configurar o bloqueio da conta cliente de acesso remoto

  • Artigo

Este artigo descreve como configurar o recurso de bloqueio da conta cliente de acesso remoto.

Aplica-se a: Windows Server 2019, Windows 10 – todas as edições
Número de KB original: 816118

Importante

Este artigo contém informações sobre como modificar o Registro. Antes de modificar o Registro, certifique-se de fazer o backup e de que saiba restaurá-lo caso ocorra algum problema. Para obter mais informações sobre como fazer backup do Registro, restaurá-lo e modificá-lo, consulte Informações do Registro do Windows para usuários avançados.

Resumo

Os clientes de acesso remoto incluem clientes VPN (rede virtual privada) e discada direta.

Você pode usar o recurso de bloqueio da conta de acesso remoto para especificar a seguinte configuração:

Quantas vezes uma autenticação de acesso remoto precisa falhar em relação a uma conta de usuário válida antes que o usuário tenha acesso negado.

Um invasor pode tentar acessar uma organização por meio do acesso remoto enviando credenciais (nome de usuário válido, senha adivinhada) durante o processo de autenticação de conexão VPN. Durante um ataque de dicionário, o invasor envia centenas ou milhares de credenciais. O invasor faz isso usando uma lista de senhas com base em palavras ou frases comuns.

A vantagem de ativar o bloqueio da conta é que ataques de força bruta, como um ataque de dicionário, dificilmente serão bem sucedidos. Isso ocorre porque, pelo menos estatisticamente, a conta é bloqueada muito antes de uma senha emitida aleatoriamente provavelmente estar correta. Um invasor ainda pode criar uma condição de negação de serviço que bloqueia intencionalmente contas de usuário.

Configurar o recurso de bloqueio da conta cliente de acesso remoto

O recurso de bloqueio da conta de acesso remoto é gerenciado separadamente das configurações de bloqueio da conta. As configurações de bloqueio da conta são mantidas em Usuários e Computadores do Active Directory. As configurações de bloqueio de acesso remoto são controladas pela edição manual do registro. Essas configurações não distinguem entre um usuário legítimo que digita incorretamente uma senha e um invasor que tenta quebrar uma conta.

Os administradores do servidor de acesso remoto controlam dois recursos de bloqueio de acesso remoto:

  • O número de tentativas com falha antes das tentativas futuras é negado.
  • Com que frequência o contador de tentativas com falha é redefinido.

Se você usar a Autenticação do Windows no servidor de acesso remoto, configure o registro no servidor de acesso remoto. Se você usar RADIUS para autenticação de acesso remoto, configure o registro no IAS (Servidor de Autenticação da Internet).

Ativar o bloqueio da conta cliente de acesso remoto

Aviso

O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Use o Editor do Registro por sua própria conta e risco.

O contador de tentativas com falha é redefinido periodicamente para zero (0). Ele é redefinido automaticamente para zero após o tempo de redefinição na seguinte situação:

Uma conta é bloqueada após o número máximo de tentativas com falha.

Para ativar o bloqueio e o tempo de redefinição da conta do cliente de acesso remoto, siga estas etapas:

  1. Selecione Iniciar>Execução, digite regedit na caixa Abrir e pressione ENTER.

  2. Localize e selecione a seguinte chave de Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. Clique duas vezes no valor MaxDenials .

    O valor padrão é zero. Ele indica que o bloqueio da conta está desativado. Digite o número de tentativas com falha antes de desejar que a conta seja bloqueada.

  4. Selecione OK.

  5. Clique duas vezes no valor ResetTime (mins).

    O valor padrão é 0xb40 que é hexadecimal por 2.880 minutos (dois dias). Modifique esse valor para atender aos requisitos de segurança de rede.

  6. Selecione OK.

  7. Saia do Editor do Registro.

Desbloquear manualmente um cliente de acesso remoto

Se a conta estiver bloqueada, o usuário poderá tentar fazer logon novamente depois que o temporizador de bloqueio tiver se esgotado. Ou você pode excluir o valor DomainName:UserName na seguinte chave do registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

Para desbloquear manualmente uma conta, siga estas etapas:

  1. Selecione Iniciar>Execução, digite regedit na caixa Abrir e pressione ENTER.

  2. Localize e selecione a seguinte chave de Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. Localize o valor Nome de Domínio:Nome de Usuário e exclua a entrada.

  4. Saia do Editor do Registro.

  5. Teste a conta para confirmar que ela não está mais bloqueada.

Referências

Para obter mais informações sobre o recurso de bloqueio do cliente de acesso remoto, consulte Política de Bloqueio da Conta.