Uzaktan erişim istemci hesabı kilitlemeyi yapılandırma

  • Makale

Bu makalede uzaktan erişim istemci hesabı kilitleme özelliğinin nasıl yapılandırıldığı açıklanır.

Şunlar için geçerlidir: Windows Server 2019, Windows 10 - tüm sürümler
Özgün KB numarası: 816118

Önemli

Bu makale, kayıt defterini değiştirme hakkında bilgiler içerir. Kayıt defterini değiştirmeden önce yedeklediğinizden ve bir sorun oluşursa kayıt defterinin nasıl geri yüklendiğini anladığınızdan emin olun. Kayıt defterini yedekleme, geri yükleme ve düzenleme hakkında daha fazla bilgi için bkz. İleri düzey kullanıcılar için Windows kayıt defteri bilgileri.

Özet

Uzaktan erişim istemcileri doğrudan arayarak bağlanma ve sanal özel ağ (VPN) istemcileri içerir.

Aşağıdaki ayarı belirtmek için uzaktan erişim hesabı kilitleme özelliğini kullanabilirsiniz:

Kullanıcının erişimi reddedilmeden önce bir uzaktan erişim kimlik doğrulamasının geçerli bir kullanıcı hesabında kaç kez başarısız olması gerekir?

Saldırgan, VPN bağlantısı kimlik doğrulama işlemi sırasında kimlik bilgileri (geçerli kullanıcı adı, tahmin edilen parola) göndererek uzaktan erişim yoluyla bir kuruluşa erişmeyi deneyebilir. Sözlük saldırısı sırasında saldırgan yüzlerce veya binlerce kimlik bilgisi gönderir. Saldırgan bunu sık kullanılan sözcüklere veya tümceciklere dayalı bir parola listesi kullanarak yapar.

Hesap kilitlemeyi etkinleştirmenin avantajı, sözlük saldırısı gibi deneme yanılma saldırılarının başarılı olma olasılığının düşük olmasıdır. Bunun nedeni, rastgele verilen parolanın doğru olma olasılığı yüksek olmadan önce hesabın en azından istatistiksel olarak kilitlenmesidir. Saldırgan, kullanıcı hesaplarını kasıtlı olarak kilitleyen bir hizmet reddi koşulu oluşturmaya devam edebilir.

Uzaktan erişim istemci hesabı kilitleme özelliğini yapılandırma

Uzaktan erişim hesabı kilitleme özelliği, hesap kilitleme ayarlarından ayrı olarak yönetilir. Hesap kilitleme ayarları Active Directory Kullanıcıları ve Bilgisayarları'de korunur. Uzaktan erişim kilitleme ayarları, kayıt defteri el ile düzenlenerek denetleniyor. Bu ayarlar, parolayı yanlış yazan meşru kullanıcı ile hesabı kırmaya çalışan bir saldırgan arasında ayrım yapmaz.

Uzaktan erişim sunucusu yöneticileri, uzaktan erişim kilitlemesinin iki özelliğini denetler:

  • Gelecekteki denemeler reddedilmeden önce başarısız olan girişimlerin sayısı.
  • Başarısız deneme sayacının ne sıklıkta sıfırlanması.

Uzaktan erişim sunucusunda Windows Kimlik Doğrulaması kullanıyorsanız, uzaktan erişim sunucusunda kayıt defterini yapılandırın. Uzaktan erişim kimlik doğrulaması için RADIUS kullanıyorsanız, İnternet Kimlik Doğrulama Sunucusu'nda (IAS) kayıt defterini yapılandırın.

Uzaktan erişim istemci hesabı kilitlemeyi etkinleştirme

Uyarı

Kayıt Defteri Düzenleyicisi'ni yanlış kullanırsanız, işletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilirsiniz. Microsoft, Kayıt Defteri Düzenleyicisi'nin yanlış kullanımı sonucunda ortaya çıkan sorunları çözebileceğiniz konusunda garanti vermez. Kayıt Defteri Düzenleyicisi'ni kullanmak kendi sorumluluğunuzdadır.

Başarısız deneme sayacı düzenli aralıklarla sıfıra (0) sıfırlanır. Aşağıdaki durumda sıfırlama zamanından sonra otomatik olarak sıfırlanır:

Başarısız deneme sayısı üst sınırından sonra bir hesap kilitlenir.

Uzaktan erişim istemci hesabı kilitleme ve sıfırlama süresini etkinleştirmek için şu adımları izleyin:

  1. ÇalıştırmayıBaşlat'ı> seçin, kutusuna yazın regedit ve ENTER tuşuna basın.

  2. Aşağıdaki kayıt defteri anahtarını bulun ve seçin:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. MaxDenials değerine çift tıklayın.

    Varsayılan değer sıfırdır. Hesap kilitlenmesinin kapalı olduğunu gösterir. Hesabın kilitlenmesini istemeden önce başarısız deneme sayısını yazın.

  4. Tamam'ı seçin.

  5. ResetTime (mins) değerine çift tıklayın.

    Varsayılan değer, 2.880 dakika (iki gün) boyunca onaltılık 0xb40. Ağ güvenlik gereksinimlerinizi karşılamak için bu değeri değiştirin.

  6. Tamam'ı seçin.

  7. Kayıt Defteri Düzenleyicisi'nden çıkın.

Uzaktan erişim istemcisinin kilidini el ile açma

Hesap kilitliyse, kilitleme zamanlayıcısı tükendikten sonra kullanıcı yeniden oturum açmayı deneyebilir. Alternatif olarak, aşağıdaki kayıt defteri anahtarında DomainName:UserName değerini silebilirsiniz:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

Hesabın kilidini el ile açmak için şu adımları izleyin:

  1. ÇalıştırmayıBaşlat'ı> seçin, kutusuna yazın regedit ve ENTER tuşuna basın.

  2. Aşağıdaki kayıt defteri anahtarını bulun ve seçin:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. Etki Alanı Adı:Kullanıcı Adı değerini bulun ve girdiyi silin.

  4. Kayıt Defteri Düzenleyicisi'nden çıkın.

  5. Hesabı test edin ve artık kilitli olmadığını onaylayın.

Başvurular

Uzaktan erişim istemci kilitleme özelliği hakkında daha fazla bilgi için bkz. Hesap Kilitleme İlkesi.