リモート アクセス クライアント アカウントのロックアウトを構成する

この記事では、リモート アクセス クライアント アカウントのロックアウト機能を構成する方法について説明します。

適用対象:  WindowsServer 2019、Windows 10 - すべてのエディション
元の KB 番号:   816118

重要

この記事には、レジストリの変更に関する情報が含まれている。 レジストリを変更する前に、レジストリをバックアップし、問題が発生した場合にレジストリを復元する方法を理解してください。 レジストリをバックアップ、復元、および編集する方法については、「高度なユーザーのレジストリWindowsを参照してください

概要

リモート アクセス クライアントには、ダイレクト ダイヤルイン クライアントと仮想プライベート ネットワーク (VPN) クライアントが含まれます。

リモート アクセス アカウントのロックアウト機能を使用して、次の設定を指定できます。

ユーザーがアクセスを拒否される前に、リモート アクセス認証が有効なユーザー アカウントに対して失敗する必要がある回数。

攻撃者は、VPN 接続認証プロセス中に資格情報 (有効なユーザー名、推測されたパスワード) を送信することで、リモート アクセスを介して組織にアクセスしようとすることができます。 辞書攻撃中、攻撃者は数百または数千の資格情報を送信します。 攻撃者は、一般的な単語または語句に基づいてパスワードの一覧を使用して実行します。

アカウント ロックアウトをアクティブ化する利点は、辞書攻撃などのブルート フォース攻撃が成功する可能性が低いという利点があります。 これは、少なくとも統計的には、ランダムに発行されたパスワードが正しい可能性が高い前に、アカウントがロックアウトされているためです。 攻撃者は、ユーザー アカウントを意図的にロックアウトするサービス拒否状態を引き続き作成できます。

リモート アクセス クライアント アカウントのロックアウト機能を構成する

リモート アクセス アカウントのロックアウト機能は、アカウントのロックアウト設定とは別に管理されます。 アカウントのロックアウト設定は、Active Directory ユーザーとコンピューターで維持されます。 リモート アクセスロックアウトの設定は、レジストリを手動で編集することで制御されます。 これらの設定は、パスワードを誤入力する正当なユーザーと、アカウントをクラックしようとする攻撃者を区別する必要はありません。

リモート アクセス サーバー管理者は、リモート アクセス ロックアウトの 2 つの機能を制御します。

  • 今後の試行が拒否される前に失敗した試行の数。
  • 失敗した試行カウンターがリセットされる頻度。

リモート アクセス サーバーで Windows認証を使用する場合は、リモート アクセス サーバーでレジストリを構成します。 リモート アクセス認証に RADIUS を使用する場合は、インターネット認証サーバー (IAS) でレジストリを構成します。

リモート アクセス クライアント アカウントのロックアウトをアクティブ化する

警告

レジストリ エディターを誤って使用すると、重大な問題が発生し、オペレーティング システムの再インストールが必要な場合があります。 Microsoft では、レジストリ エディターを誤って使用して発生する問題を解決できる保証はありません。 レジストリ エディターは、ご自身のリスクで使用してください。

失敗した試行カウンターは、定期的にゼロ (0) にリセットされます。 次の状況では、リセット時間後に自動的に 0 にリセットされます。

失敗した試行の最大数の後にアカウントがロックアウトされます。

リモート アクセス クライアント アカウントのロックアウトとリセット時間をアクティブにするには、次の手順を実行します。

  1. [実行の > 開始] を 選択し、[ regedit 開く] ボックス に入力 し、Enter キーを押します。

  2. 次のレジストリ キーを見つけて選択します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. MaxDenials 値をダブルクリック します。

    既定値はゼロです。 アカウントのロックアウトがオフになっていることを示します。 アカウントをロックアウトする前に、失敗した試行回数を入力します。

  4. [OK] を選択します。

  5. ResetTime (分) の値をダブルクリック します。

    既定値 は、0xb40 2,880 分 (2 日間) の 16 進数です。 この値を変更して、ネットワーク セキュリティ要件を満たします。

  6. [OK] を選択します。

  7. レジストリ エディターを終了します。

リモート アクセス クライアントの手動ロック解除

アカウントがロックアウトされている場合、ユーザーはロックアウト タイマーの実行後にもう一度ログオンできます。または、次のレジストリ キーで DomainName:UserName 値を削除できます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

アカウントの手動ロックを解除するには、次の手順を実行します。

  1. [実行の > 開始] を 選択し、[ regedit 開く] ボックス に入力 し、Enter キーを押します。

  2. 次のレジストリ キーを見つけて選択します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

  3. [ドメイン 名:ユーザー名] の値を 見つけて、エントリを削除します。

  4. レジストリ エディターを終了します。

  5. アカウントをテストして、ロックアウトされなくなったか確認します。

関連情報

リモート アクセス クライアントロックアウト機能の詳細については 、「Account Lockout Policy」を参照してください