Настройка блокировки учетной записи клиента удаленного доступа

  • Статья

В этой статье описывается настройка функции блокировки учетной записи клиента удаленного доступа.

Применимо к: Windows Server 2019, Windows 10 — все выпуски
Исходный номер базы знаний: 816118

Важно!

В этой статье содержатся сведения об изменении реестра. Перед изменением реестра рекомендуется создать его резервную копию и изучить процедуру восстановления реестра в случае возникновения проблемы. Для получения дополнительной информации о том, как создать резервную копию, восстановить и изменить реестр, см. раздел Сведения о реестре Windows для опытных пользователей.

Сводка

Клиенты удаленного доступа включают клиенты с прямым подключением и виртуальной частной сетью (VPN).

Вы можете использовать функцию блокировки учетной записи удаленного доступа, чтобы указать следующий параметр:

Сколько раз проверка подлинности удаленного доступа должна завершаться сбоем с действительной учетной записью пользователя, прежде чем пользователю будет отказано в доступе.

Злоумышленник может попытаться получить доступ к организации через удаленный доступ, отправив учетные данные (допустимое имя пользователя, угаданный пароль) во время проверки подлинности VPN-подключения. Во время атаки на словарь злоумышленник отправляет сотни или тысячи учетных данных. Злоумышленник делает это, используя список паролей на основе распространенных слов или фраз.

Преимущество активации блокировки учетной записи заключается в том, что атаки методом подбора, такие как атака по словарю, вряд ли будут успешными. Это связано с тем, что, по крайней мере статистически, учетная запись заблокирована задолго до того, как случайно выданный пароль, скорее всего, будет правильным. Злоумышленник по-прежнему может создать условие отказа в обслуживании, которое намеренно блокирует учетные записи пользователей.

Настройка функции блокировки учетной записи клиента удаленного доступа

Функция блокировки учетной записи удаленного доступа управляется отдельно от параметров блокировки учетной записи. Параметры блокировки учетной записи сохраняются в Пользователи и компьютеры Active Directory. Параметры блокировки удаленного доступа управляются путем редактирования реестра вручную. Эти параметры не различают законного пользователя, который вводит неправильный пароль, и злоумышленника, который пытается взломать учетную запись.

Администраторы сервера удаленного доступа управляют двумя функциями блокировки удаленного доступа:

  • Количество неудачных попыток до того, как будущие попытки будут отклонены.
  • Как часто сбрасывается счетчик неудачных попыток.

Если вы используете проверку подлинности Windows на сервере удаленного доступа, настройте реестр на сервере удаленного доступа. Если вы используете RADIUS для проверки подлинности удаленного доступа, настройте реестр на сервере проверки подлинности в Интернете (IAS).

Активация блокировки учетной записи клиента удаленного доступа

Предупреждение

Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.

Счетчик неудачных попыток периодически сбрасывается до нуля (0). Он автоматически сбрасывается до нуля по истечении времени сброса в следующей ситуации:

Учетная запись блокируется после максимального числа неудачных попыток.

Чтобы активировать блокировку учетной записи клиента удаленного доступа и сбросить время, выполните следующие действия.

  1. Выберите Запустить>запуск, введите regedit в поле Открыть и нажмите клавишу ВВОД.

  2. Найдите и выделите следующий раздел реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. Дважды щелкните значение MaxDenials .

    Значение по умолчанию: ноль. Это означает, что блокировка учетной записи отключена. Введите количество неудачных попыток перед блокировкой учетной записи.

  4. Нажмите ОК.

  5. Дважды щелкните значение ResetTime (мин).

    Значение по умолчанию — 0xb40 шестнадцатеричное значение в течение 2880 минут (два дня). Измените это значение в соответствии с требованиями к безопасности сети.

  6. Нажмите ОК.

  7. Закройте редактор реестра.

Разблокировка клиента удаленного доступа вручную

Если учетная запись заблокирована, пользователь может повторить вход после истечения таймера блокировки. Кроме того, можно удалить значение DomainName:UserName в следующем разделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

Чтобы разблокировать учетную запись вручную, выполните следующие действия.

  1. Выберите Запустить>запуск, введите regedit в поле Открыть и нажмите клавишу ВВОД.

  2. Найдите и выделите следующий раздел реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. Найдите значение Имя домена:Имя пользователя , а затем удалите запись.

  4. Закройте редактор реестра.

  5. Протестируйте учетную запись, чтобы убедиться, что она больше не заблокирована.

Ссылки

Дополнительные сведения о функции блокировки клиента удаленного доступа см. в статье Политика блокировки учетных записей.