Продолжительность блокировки учетной записи
Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Продолжительность блокировки учетной записи.
Справочные материалы
Параметр политики Продолжительность блокировки учетной записи определяет число минут, в течение которых учетная запись остается заблокированной до ее автоматической разблокировки. Допустимые значения: от 1 до 99 999 минут. Значение 0 указывает, что учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее. Если для параметра Порог блокировки учетной записи задано значение больше нуля, значение параметра Продолжительность блокировки учетной записи должно быть больше или равно значению параметра Время до сброса счетчика блокировки.
Этот параметр политики зависит от параметра политики Порог блокировки учетной записи и должен быть больше или равен значению, указанному для параметра политики Время до сброса счетчика блокировки.
Возможные значения
Определяемое пользователем количество минут от 0 до 99 999.
Не определено
Если параметр Порог блокировки учетной записи настроен, по истечении указанного числа неудачных попыток запись будет заблокирована. Если для параметра Продолжительность блокировки учетной записи задано значение 0, учетная запись останется заблокированной до тех пор, пока администратор не разблокирует ее вручную.
В качестве значения параметра Продолжительность блокировки учетной записи рекомендуется задать примерно 30 минут. Чтобы указать, что учетная запись никогда не будет заблокирована, задайте значение равным 0. Настройка значения этого параметра политики таким образом, чтобы оно никогда не приводило к автоматической разблокировке учетной записи, может показаться хорошей идеей, однако в этом случае может увеличиться количество поступающих в службу технической поддержки запросов на разблокировку ошибочно заблокированных учетных записей.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не применимо |
Действующие параметры контроллера домена по умолчанию |
Не определено |
Действующие параметры рядового сервера по умолчанию |
Не определено |
Действующие параметры клиентского компьютера по умолчанию |
Не применимо |
Соображения безопасности
Большое количество неудачных отправок пароля во время попытки входа в систему компьютера могут оказаться попытками злоумышленника определить пароль учетной записи пробным путем. Операционные системы Windows и Windows Server могут отслеживать попытки входа, а вы можете настроить операционную систему на отключение учетной записи на определенный период времени после указанного количества неудачных попыток. Параметры политики блокировки учетной записи контролируют пороговое значение этого ответа, а также действия, выполняемые по достижении порогового значения.
Уязвимость
Если злоумышленник использует параметр политики Порог блокировки учетной записи в своих целях и многократно пытается выполнить вход с использованием определенной учетной записи, из этого может получиться атака типа "отказ в обслуживании" (DoS). После настройки параметра политики Порог блокировки учетной записи учетная запись блокируется после указанного количества неудачных попыток входа. Если для параметра политики Продолжительность блокировки учетной записи задается значение 0, учетная запись остается заблокированной до тех пор, пока вы не разблокируете ее вручную.
Меры противодействия
Настройте для параметра политики Продолжительность блокировки учетной записи значение, подходящее для вашей среды. Чтобы указать, что учетная запись останется заблокированной, пока вы не разблокируете ее вручную, задайте значение равным 0. Когда для параметра политики Продолжительность блокировки учетной записи указано ненулевое значение, автоматические попытки угадать пароли учетных записей откладываются на указанный период до возобновления повторных попыток ввода пароля для конкретной учетной записи. Использование этого параметра вместе с параметром политики Порог блокировки учетной записи существенно усложняет процесс автоматического угадывания паролей.
Возможные последствия
Установка для параметра политики Продолжительность блокировки учетной записи значения равным 0, что запрещает автоматическую разблокировку учетных записей, может увеличить количество поступающих в службу технической поддержки запросов на разблокировку ошибочно заблокированных учетных записей.