Интерактивный вход в систему: пороговое число неудачных попыток входа
Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Интерактивный вход в систему: пороговое число неудачных попыток входа.
Справка
Начиная с версий Windows Server 2012 и Windows 8 параметр политики безопасности Интерактивный вход в систему: пороговое число неудачных попыток входа применяет политику блокировки на компьютерах с включенным шифрованием BitLocker для защиты томов операционной системы.
Этот параметр безопасности позволяет установить порог числа неудачных попыток входа, при котором устройство будет блокироваться с помощью BitLocker. Таким образом, при превышении заданного максимального числа неудачных попыток входа устройство аннулирует средство защиты доверенного платформенного модуля (TPM) и любое другое средство защиты, за исключением 48-значного цифрового пароля восстановления, а затем выполнит перезагрузку. В режиме блокировки устройства компьютер или устройство загрузят только среду восстановления Windows (WinRE) с поддержкой сенсорного ввода, пока полномочный пользователь не введет пароль восстановления, чтобы получить полный доступ.
Неудачные попытки ввода пароля на рабочих станциях или рядовых серверах, которые были заблокированы с помощью сочетания клавиш Ctrl+Alt+Delete или с помощью защищенных паролем экранных заставок, считаются неудачными попытками входа в систему.
Возможные значения
Количество неудачных попыток входа может быть задано числом от 1 до 999. Значения от 1 до 3 будут интерпретированы как 4. Если задать параметру значение 0 или оставить его незаданным, компьютер или устройство никогда не будут блокироваться в результате действия этого параметра политики безопасности.
Рекомендации
Используйте этот параметр политики в сочетании с другой политикой контроля неудачных попыток входа в учетную запись. Например, если параметру политики Порог блокировки учетной записи задать значение 4, а параметру Интерактивный вход в систему: пороговое число неудачных попыток входа значение 6, пользователь сможет восстанавливать доступ к ресурсам без необходимости в восстановлении доступа к устройству в результате действия блокировки BitLocker.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Перезапуск необходим для того, чтобы изменения, внесенные в эту политику, вступали в силу после их локального сохранения или распространения с использованием групповой политики.
Групповая политика
Поскольку этот параметр политики появился в Windows Server 2012 и Windows 8, его можно настраивать только локально на поддерживающих его устройствах; однако его также можно настраивать и распространять с использованием групповой политики на любом компьютере под управлением операционной системы Windows, которая поддерживает групповую политику и для которой включено шифрование BitLocker.
При настройке этой политики следует учитывать значение параметра Порог блокировки учетной записи, определяющего число неудачных попыток входа, по достижении которого учетная запись пользователя блокируется.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Этот параметр политики позволяет защитить устройство, на котором включено шифрование BitLocker, от злоумышленников, пытающихся методом подбора определить пароль для входа в Windows. Если он не настроен, у злоумышленников будет бесконечное количество попыток для подбора пароля, если не действуют другие механизмы защиты учетной записи.
Меры противодействия
Используйте этот параметр политики в сочетании с другой политикой контроля неудачных попыток входа в учетную запись. Например, если параметру политики Порог блокировки учетной записи задать значение 4, а параметру Интерактивный вход в систему: пороговое число неудачных попыток входа значение 6, пользователь сможет восстанавливать доступ к ресурсам без необходимости в восстановлении доступа к устройству в результате действия блокировки BitLocker.
Возможные последствия
Если параметр не настроен, у злоумышленника будет возможность получить доступ к устройству посредством использования программы раскрытия паролей методом подбора.
Если задать параметру слишком низкое значение, это может привести к возникновению проблем с производительностью, поскольку пользователи, учетная запись которых была заблокирована, не смогут получить доступ к устройству без ввода 48-значного пароля восстановления BitLocker.