Exporteren (0) Afdrukken
Alles uitvouwen

RAS-accountvergrendeling

RAS-accountvergrendeling

U kunt de RAS-functie voor accountvergrendeling gebruiken om op te geven hoe vaak een RAS-verificatie van een geldige gebruikersaccount mag mislukken voordat de gebruiker de toegang wordt geweigerd. RAS-accountvergrendeling is met name belangrijk voor RAS-VPN-verbindingen (Virtual Private Network) via internet. Onbevoegden op internet kunnen toegang tot een bedrijfsintranet proberen te krijgen door referenties (geldige gebruikersnaam en geraden wachtwoord) te verzenden tijdens de verificatie voor een VPN-verbinding. Bij een woordenboekaanval verzendt de onbevoegde persoon honderden of duizenden referenties door een lijst te gebruiken met wachtwoorden die zijn gebaseerd op veelgebruikte woorden of woordgroepen.

Wanneer accountvergrendeling is ingeschakeld, wordt de woordenboekaanval na het opgegeven aantal mislukte pogingen geblokkeerd. U moet als netwerkbeheerder een beslissing nemen over twee variabelen bij RAS-accountvergrendeling:

  1. Het aantal mislukte pogingen voordat verdere pogingen onmogelijk worden gemaakt.
    Na elke mislukte poging wordt het aantal mogelijke mislukte pogingen voor de gebruikersaccount verminderd. Als de mislukte pogingen voor een gebruikersaccount het geconfigureerde maximum bereiken, zijn er geen verbindingspogingen meer mogelijk.
    Bij een geslaagde verificatie wordt het aantal mislukte pogingen weer op nul ingesteld wanneer het aantal mislukte pogingen kleiner was dan het opgegeven maximum. De telling van de mislukte pogingen begint dus na een geslaagde verificatie weer opnieuw.
  2. Hoe vaak het aantal mislukte pogingen opnieuw op nul wordt ingesteld.
    Het aantal mislukte pogingen wordt periodiek opnieuw ingesteld op 0. Als een account wordt vergrendeld na het maximum aantal mislukte pogingen, wordt het aantal mislukte pogingen opnieuw ingesteld op 0 na de periode voor opnieuw instellen.

U schakelt RAS-accountvergrendeling in door instellingen in het register te wijzigen op de computer die de verificatie uitvoert. Als de RAS-server voor Windows-verificatie is geconfigureerd, wijzigt u het register op de RAS-servercomputer. Als de RAS-server voor RADIUS-verificatie is geconfigureerd en de IAS-service (Internet Authentication Service) wordt gebruikt, wijzigt u het register op de IAS-server.

Waarschuwing

  • Het onjuist bewerken van het register kan ernstige schade toebrengen aan de computer. Maak een back-up van alle belangrijke gegevens op de computer voordat u het register wijzigt.

U schakelt RAS-accountvergrendeling in door de vermelding MaxDenials in het register in te stellen op 1 of hoger. MaxDenials is het maximale aantal mislukte pogingen voordat de account wordt vergrendeld. U kunt de vermelding MaxDenials in de volgende subsleutel van het register instellen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

MaxDenials is standaard ingesteld op 0 (geen RAS-accountvergrendeling).

U wijzigt de tijd voordat het aantal mislukte pogingen opnieuw op nul wordt ingesteld door de vermelding ResetTime (mins) in het register op het gewenste aantal minuten in te stellen. U kunt de vermelding ResetTime (mins) in de volgende subsleutel van het register instellen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

ResetTime (mins) is standaard ingesteld op 0xb40 oftewel 2.880 minuten (48 uur).

Een vergrendelde account handmatig opnieuw instellen

U kunt een vergrendelde gebruikersaccount handmatig opnieuw instellen voordat het aantal mislukte pogingen opnieuw op nul wordt ingesteld door de volgende subsleutel voor de gebruikersaccountnaam te verwijderen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout\ domeinnaam:gebruikersnaam

Wanneer de vergrendelingstelling voor een gebruikersaccount weer op 0 wordt ingesteld, omdat de verificatie is geslaagd of omdat de telling automatisch opnieuw is ingesteld, wordt de registersubsleutel voor de gebruikersaccount verwijderd.

Opmerkingen

  • RAS-accountvergrendeling staat los van de instelling Account vergrendeld op het tabblad Account voor de eigenschappen van een gebruikersaccount.
  • Bij de RAS-accountvergrendeling wordt er geen onderscheid gemaakt tussen kwaadwillende gebruikers die toegang tot het intranet proberen te krijgen en de gebruikers van het intranet die RAS-toegang proberen te krijgen maar die hun huidig wachtwoord zijn vergeten. Gebruikers die hun huidig wachtwoord zijn vergeten, proberen meestal de wachtwoorden die ze zich nog herinneren waardoor hun accounts, afhankelijk van het aantal pogingen en de instelling bij MaxDenials, kunnen worden vergrendeld.
  • Wanneer u RAS-accountvergrendeling instelt, kan een kwaadwillende gebruiker een account laten blokkeren door meerdere verificaties met de gebruikersaccount te proberen totdat de account is vergrendeld. Hierdoor kan de rechtmatige gebruiker zich dan ook niet meer aanmelden.
Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft