リモート アクセス クライアント アカウントのロックアウトを構成する

  • [アーティクル]

この記事では、リモート アクセス クライアント アカウントロックアウト機能を構成する方法について説明します。

適用対象:Windows Server 2019、Windows 10 - すべてのエディション
元の KB 番号: 816118

重要

この記事には、レジストリの変更に関する情報が含まれています。 レジストリを変更する前に、レジストリのバックアップを必ず作成し、問題が発生した場合にレジストリを復元する方法について確実に理解しておいてください。 レジストリをバックアップ、復元、および編集する方法の詳細については、「上級ユーザー向けの Windows レジストリ情報」を参照してください。

概要

リモート アクセス クライアントには、ダイレクト ダイヤルイン クライアントと仮想プライベート ネットワーク (VPN) クライアントが含まれます。

リモート アクセス アカウントロックアウト機能を使用して、次の設定を指定できます。

ユーザーがアクセスを拒否されるまでに、有効なユーザー アカウントに対してリモート アクセス認証が失敗する必要がある回数。

攻撃者は、VPN 接続認証プロセス中に資格情報 (有効なユーザー名、推測されたパスワード) を送信することで、リモート アクセスを通じてorganizationにアクセスしようとする可能性があります。 辞書攻撃中に、攻撃者は数百または数千の資格情報を送信します。 攻撃者は、一般的な単語または語句に基づいてパスワードの一覧を使用してそうします。

アカウント ロックアウトをアクティブ化する利点は、辞書攻撃などのブルート フォース攻撃が成功する可能性が低いということです。 これは、少なくとも統計的には、ランダムに発行されたパスワードが正しい可能性が高いずっと前にアカウントがロックアウトされるためです。 攻撃者は、ユーザー アカウントを意図的にロックアウトするサービス拒否条件を引き続き作成できます。

リモート アクセス クライアント アカウントロックアウト機能を構成する

リモート アクセス アカウントロックアウト機能は、アカウント ロックアウト設定とは別に管理されます。 アカウントのロックアウト設定は、Active Directory ユーザーとコンピューターで維持されます。 リモート アクセス ロックアウト設定は、レジストリを手動で編集することによって制御されます。 これらの設定では、パスワードを誤って入力した正当なユーザーと、アカウントを解読しようとする攻撃者は区別されません。

リモート アクセス サーバー管理者は、リモート アクセス ロックアウトの 2 つの機能を制御します。

  • 今後の試行が拒否されるまでに失敗した試行の数。
  • 失敗した試行カウンターがリセットされる頻度。

リモート アクセス サーバーで Windows 認証を使用する場合は、リモート アクセス サーバーでレジストリを構成します。 リモート アクセス認証に RADIUS を使用する場合は、インターネット認証サーバー (IAS) でレジストリを構成します。

リモート アクセス クライアント アカウントのロックアウトをアクティブ化する

警告

レジストリ エディターの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。 マイクロソフトは、レジストリ エディターの誤用により発生した問題に関しては、一切責任を負わないものとします。 レジストリ エディターは、自己の責任においてご使用ください。

失敗した試行カウンターは、定期的にゼロ (0) にリセットされます。 次の状況では、リセット時刻の後に自動的に 0 にリセットされます。

失敗した試行の最大数の後、アカウントはロックアウトされます。

リモート アクセス クライアント アカウントのロックアウトをアクティブ化し、時刻をリセットするには、次の手順に従います。

  1. [実行の開始]> を選択し、[開く] ボックスに「」と入力regeditし、Enter キーを押します。

  2. 次のレジストリ キーを見つけて選択します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. MaxDenials 値をダブルクリックします。

    既定値はゼロです。 アカウントロックアウトがオフになっていることを示します。 アカウントをロックアウトする前に失敗した試行回数を入力します。

  4. [OK] を選択します。

  5. ResetTime (分) の値をダブルクリックします。

    既定値は 0xb40 で、2,880 分 (2 日間) の 16 進数です。 ネットワーク セキュリティ要件を満たすように、この値を変更します。

  6. [OK] を選択します。

  7. レジストリ エディターを終了します。

リモート アクセス クライアントを手動でロック解除する

アカウントがロックアウトされている場合、ユーザーはロックアウト タイマーが不足した後にもう一度ログオンを試みることができます。または、次のレジストリ キーの DomainName:UserName 値を削除できます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

アカウントのロックを手動で解除するには、次の手順に従います。

  1. [実行の開始]> を選択し、[開く] ボックスに「」と入力regeditし、Enter キーを押します。

  2. 次のレジストリ キーを見つけて選択します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. [Domain Name:User Name]\(ドメイン名:ユーザー名\) の値を見つけて、エントリを削除します。

  4. レジストリ エディターを終了します。

  5. アカウントをテストして、ロックアウトされなくなったことを確認します。

関連情報

リモート アクセス クライアント ロックアウト機能の詳細については、「 アカウント ロックアウト ポリシー」を参照してください。