接上篇本地Windows Server的安全加固(一)在本地安全策略窗口中,在安全设置下的账户策略中除了密码策略外还有一个“帐户锁定策略”:
1.允许管理员帐户锁定
此安全设置决定内置管理员帐户是否受帐户锁定策略约束。该设置默认为启用状态,代表内置的管理员帐号Administrator也受到锁定策略的约束,如果在管理中确实需要管理员账号不受锁定策略的约束,可以选择禁用些策略。一般情况下就设置应该启用。
2.帐户锁定时间:
此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从 0 到 99,999 分钟。如果将帐户锁定时间设置为 0,帐户将一直被锁定直到管理员明确解除对它的锁定。
只有在指定了帐户锁定阈值时,此策略设置才有意义。帐户锁定时间必须大于或等于重置时间。
默认值: 10分钟
3.帐户锁定阈值
此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前,无法使用该锁定帐户。可以将登录尝试失败次数设置为介于 0 和 999 之间的值。如果将值设置为 0,则永远不会锁定帐户。
默认值为10次无效登录。建议设置为3-5次。这样更安全一些。
阈值:阈【(yù),意思为门槛或界限】阈值,是临界值,指一个效应能够产生的最低值或最高值。阈值多用于科学和技术领域,强调数据或信号的处理和分析
4.重置帐户锁定计数器:
此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。可用范围是 1 到 99,999 分钟。
如果定义了帐户锁定阈值,此重置时间必须小于或等于帐户锁定时间。
默认值: 10,上面我们设置的帐户锁定时间为10分钟,因些这里应该设置一个小于或等10的数值,并且只有在指定了帐户锁定阈值时,此策略设置才有意义。
这里我们可以设置为5分钟之后:
设置“帐户锁定策略”完成.
以上设置代表包括系统管理员在内的所有用户如果在输错3次密码后,账号将被锁定,锁定时间为10分钟,10分钟之后账号解锁。用户要以使用正确的密码登录系统。其中如果两次输入错误的密码之间间隔超过5分钟,则错误密码的次数重置为零,输入密码错误的次数重新计算。
