Configurar el bloqueo de cuentas de cliente de acceso remoto

En este artículo se describe cómo configurar la característica de bloqueo de cuentas de cliente de acceso remoto.

Se aplica a:   Windows Server 2019, Windows 10: todas las ediciones
Número KB original:   816118

Importante

Este artículo contiene información sobre cómo modificar el Registro. Antes de modificar el Registro, asegúrese de realizar una copia de seguridad de él y asegúrese de comprender cómo restaurar el Registro si se produce un problema. Para obtener información acerca de cómo hacer una copia de seguridad, restaurar y editar el Registro, vea Windows información del Registro para usuarios avanzados.

Resumen

Los clientes de acceso remoto incluyen clientes de acceso telefónico directo y de red privada virtual (VPN).

Puede usar la característica de bloqueo de cuentas de acceso remoto para especificar la siguiente configuración:

Cuántas veces debe producirse un error en una autenticación de acceso remoto en una cuenta de usuario válida antes de denegar el acceso al usuario.

Un atacante puede intentar acceder a una organización a través del acceso remoto enviando credenciales (nombre de usuario válido, contraseña adivinada) durante el proceso de autenticación de conexión VPN. Durante un ataque de diccionario, el atacante envía cientos o miles de credenciales. El atacante lo hace mediante una lista de contraseñas basadas en palabras o frases comunes.

La ventaja de activar el bloqueo de cuentas es que es poco probable que los ataques de fuerza bruta, como un ataque de diccionario, se produzcan correctamente. Se debe a que estadísticamente, al menos, la cuenta se bloquea mucho antes de que una contraseña emitida aleatoriamente sea probablemente correcta. Un atacante aún puede crear una condición de denegación de servicio que bloquea intencionadamente las cuentas de usuario.

Configurar la característica de bloqueo de cuentas de cliente de acceso remoto

La característica de bloqueo de cuentas de acceso remoto se administra de forma independiente de la configuración de bloqueo de cuenta. La configuración de bloqueo de cuenta se mantiene en Usuarios y equipos de Active Directory. La configuración de bloqueo de acceso remoto se controla mediante la edición manual del Registro. Esta configuración no distingue entre un usuario legítimo que no escribirá una contraseña y un atacante que intente descifrar una cuenta.

Los administradores del servidor de acceso remoto controlan dos características del bloqueo de acceso remoto:

  • Número de intentos fallidos antes de que se denieguen los intentos futuros.
  • Con qué frecuencia se restablece el contador de intentos con errores.

Si usa la autenticación Windows en el servidor de acceso remoto, configure el Registro en el servidor de acceso remoto. Si usa RADIUS para la autenticación de acceso remoto, configure el Registro en el Servidor de autenticación de Internet (IAS).

Activar el bloqueo de cuentas de cliente de acceso remoto

Advertencia

Si usa el Editor del Registro incorrectamente, puede causar problemas graves que pueden requerir que vuelva a instalar el sistema operativo. Microsoft no puede garantizar que pueda resolver problemas que se den como resultado de usar el Editor del Registro incorrectamente. Use el Editor del Registro por su cuenta y riesgo.

El contador de intentos fallidos se restablece periódicamente a cero (0). Se restablece automáticamente a cero después del tiempo de restablecimiento en la siguiente situación:

Una cuenta se bloquea después del número máximo de intentos fallidos.

Para activar el bloqueo de cuentas de cliente de acceso remoto y el tiempo de restablecimiento, siga estos pasos:

  1. Seleccione Iniciar > ejecución, escriba regedit en el cuadro Abrir y, a continuación, presione ENTRAR.

  2. Busque y, a continuación, seleccione la siguiente clave del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. Haga doble clic en el valor MaxDenials.

    El valor predeterminado es cero. Indica que el bloqueo de cuenta está desactivado. Escriba el número de intentos fallidos antes de que desee bloquear la cuenta.

  4. Seleccione Aceptar.

  5. Haga doble clic en el valor ResetTime (minutos).

    El valor predeterminado es 0xb40 hexadecimal durante 2.880 minutos (dos días). Modifique este valor para cumplir los requisitos de seguridad de red.

  6. Seleccione Aceptar.

  7. Salga del editor del Registro.

Desbloquear manualmente un cliente de acceso remoto

Si la cuenta está bloqueada, el usuario puede intentar iniciar sesión de nuevo después de que se haya ejecutado el temporizador de bloqueo. O bien, puede eliminar el valor DomainName:UserName en la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

Para desbloquear manualmente una cuenta, siga estos pasos:

  1. Seleccione Iniciar > ejecución, escriba regedit en el cuadro Abrir y, a continuación, presione ENTRAR.

  2. Busque y, a continuación, seleccione la siguiente clave del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. Busque el valor Nombre de dominio:Nombre de usuario y, a continuación, elimine la entrada.

  4. Salga del editor del Registro.

  5. Pruebe la cuenta para confirmar que ya no está bloqueada.

Referencias

Para obtener más información acerca de la característica de bloqueo de cliente de acceso remoto, vea Account Lockout Policy.