Configuración del bloqueo de la cuenta de cliente de acceso remoto

Artículo
15/01/2025

En este artículo se describe cómo configurar la característica de bloqueo de cuentas de cliente de acceso remoto.

Se aplica a: Windows Server 2019, Windows 10 : todas las ediciones
Número de KB original: 816118

Importante

Este artículo contiene información sobre cómo modificar el Registro. Antes de modificarlo, asegúrese de hacer una copia de seguridad de este y de comprender cómo restaurarlo si hay un problema. Para obtener más información sobre cómo realizar una copia de seguridad, restaurar y editar el Registro, consulte Información del Registro de Windows para usuarios avanzados.

Resumen

Los clientes de acceso remoto incluyen clientes de acceso telefónico directo y de red privada virtual (VPN).

Puede usar la característica de bloqueo de cuenta de acceso remoto para especificar la siguiente configuración:

Cuántas veces se debe producir un error en una autenticación de acceso remoto en una cuenta de usuario válida antes de que se deniegue el acceso al usuario.

Un atacante puede intentar acceder a una organización a través del acceso remoto mediante el envío de credenciales (nombre de usuario válido, contraseña adivinada) durante el proceso de autenticación de la conexión VPN. Durante un ataque de diccionario, el atacante envía cientos o miles de credenciales. El atacante lo hace mediante una lista de contraseñas basadas en palabras o frases comunes.

La ventaja de activar el bloqueo de cuenta es que es poco probable que los ataques por fuerza bruta, como un ataque de diccionario, sean correctos. Esto se debe a que estadísticamente al menos, la cuenta se bloquea mucho antes de que una contraseña emitida aleatoriamente sea correcta. Un atacante todavía puede crear una condición de denegación de servicio que bloquee intencionadamente las cuentas de usuario.

Configuración de la característica de bloqueo de cuentas de cliente de acceso remoto

La característica de bloqueo de cuenta de acceso remoto se administra independientemente de la configuración de bloqueo de la cuenta. La configuración de bloqueo de la cuenta se mantiene en Usuarios y equipos de Active Directory. La configuración de bloqueo de acceso remoto se controla mediante la edición manual del registro. Esta configuración no distingue entre un usuario legítimo que mal escribe una contraseña y un atacante que intenta descifrar una cuenta.

Los administradores del servidor de acceso remoto controlan dos características del bloqueo de acceso remoto:

Número de intentos erróneos antes de que se denieguen los intentos futuros.
Frecuencia con la que se restablece el contador de intentos con errores.

Si usa la autenticación de Windows en el servidor de acceso remoto, configure el registro en el servidor de acceso remoto. Si usa RADIUS para la autenticación de acceso remoto, configure el registro en el servidor de autenticación de Internet (IAS).

Activación del bloqueo de la cuenta de cliente de acceso remoto

Advertencia

utilizar el Editor del registro de configuraciones incorrectamente puede ocasionar problemas graves que quizás requieran reinstalar el sistema operativo. Microsoft no garantiza que se puedan resolver los problemas derivados de un uso incorrecto del Editor del Registro. Use el Editor del Registro bajo su propia responsabilidad.

El contador de intentos con errores se restablece periódicamente a cero (0). Se restablece automáticamente a cero después del tiempo de restablecimiento en la siguiente situación:

Una cuenta se bloquea después del número máximo de intentos erróneos.

Para activar el bloqueo y el tiempo de restablecimiento de la cuenta de cliente de acceso remoto, siga estos pasos:

Seleccione Iniciar>ejecución, escriba regedit el cuadro Abrir y presione ENTRAR.
Busque la siguiente subclave del Registro y selecciónela:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout
Haga doble clic en el valor MaxDenials .

El valor predeterminado es cero. Indica que el bloqueo de la cuenta está desactivado. Escriba el número de intentos erróneos antes de que quiera que la cuenta se bloquee.
Seleccione Aceptar.
Haga doble clic en el valor ResetTime (mins).

El valor predeterminado es 0xb40 que es hexadecimal durante 2880 minutos (dos días). Modifique este valor para cumplir los requisitos de seguridad de red.
Seleccione Aceptar.
Salga del Editor del Registro.

Desbloquear manualmente un cliente de acceso remoto

Si la cuenta está bloqueada, el usuario puede intentar iniciar sesión de nuevo después de que se haya agotado el temporizador de bloqueo. O bien, puede eliminar el valor DomainName:UserName en la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

Para desbloquear manualmente una cuenta, siga estos pasos:

Seleccione Iniciar>ejecución, escriba regedit el cuadro Abrir y presione ENTRAR.
Busque la siguiente subclave del Registro y selecciónela:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout
Busque el valor Nombre de dominio:Nombre de usuario y, a continuación, elimine la entrada.
Salga del Editor del Registro.
Pruebe la cuenta para confirmar que ya no está bloqueada.

Referencias

Para obtener más información sobre la característica de bloqueo de cliente de acceso remoto, consulte Directiva de bloqueo de cuentas.

Recursos adicionales

Documentación

Solución de problemas de acceso denegado y de usuario no autorizado en RDS - Windows Server

Proporciona soluciones para acceder a problemas de autorización y denegados que se producen al intentar conectarse a un equipo remoto mediante Servicios de Escritorio remoto.
Adición de un usuario a los permisos RDP de servicios - Windows Server

Describe tres métodos para agregar usuarios o grupos a permisos de Protocolo de Escritorio remoto (RDP) de Terminal Services.
Denegar el inicio de sesión de usuario o grupo a través de RDP - Windows Server

Ayuda a resolver un problema por el que la característica Denegar estos permisos de usuario para iniciar sesión en un servidor host de sesión de Escritorio remoto se comporta de forma diferente en distintas versiones de Windows Server.
Limitar conexiones en un servidor de terminal - Windows Server

Describe cómo asegurarse de que solo un usuario a la vez puede conectarse a un servidor de terminal Windows Server 2003 en modo de administración remota o en la consola.
Escritorio remoto no puede comprobar la identidad del equipo remoto - Windows Server

Ayuda a solucionar problemas de Escritorio remoto no puede comprobar la identidad del equipo remoto al conectarse a una máquina remota unida a un dominio.
Solución de problemas generales de conexión con Escritorio remoto - Windows Server

Solucione el error "Clase no registrada" con conexión a Escritorio remoto.
El usuario no se puede autenticar o debe autenticarse dos veces - Windows Server

Solucione un problema en el que el usuario no se puede autenticar o debe autenticarse dos veces al iniciar una conexión de Escritorio remoto.
La directiva local no le permite iniciar sesión de forma interactiva - Windows Server

Proporciona una resolución a un problema en el que la directiva local no permite iniciar sesión de forma interactiva.

Cursos

Módulo

Explore remote access - Training

This module explores how Windows clients can connect to resource over public networks using virtual private networks.

Certificación

Microsoft Certified: Identity and Access Administrator Associate - Certifications

Muestre las características de Microsoft Entra ID para modernizar las soluciones de identidad, implementar soluciones híbridas e implementar la gobernanza de identidades.

AI Skills Fest

Compartir a través de