GPO-重設帳戶鎖定計數器的時間

參考

設定 後 重設帳戶鎖定計數器會決定從使用者無法登入起所經過的分鐘數，再將失敗的登入嘗試計數器重設為 0。 如果 帳戶鎖定閾值 設為大於零的數值，此重設時間必須小於或等於 帳戶鎖定持續時間的值。

高設定的缺點是，如果使用者透過登入錯誤超過帳戶鎖定閾值，會鎖定自己一段不方便的時間。 使用者可能會撥打過多電話給服務台。

可能值

使用者定義的分鐘數，從 1 到 99，999

最佳做法

判斷貴組織的威脅等級，並針對密碼重設，與技術支援人員支援的成本進行平衡。 每個組織都會有特定需求。

Windows 安全性比較基準建議在原則**** 設定為 15 之後設定重設帳戶鎖定計數器，但與其他帳戶鎖定設定一樣，此值比規則或最佳做法更符合指導方針，因為沒有「一個大小適合所有」。 詳細資訊，請參閱設置帳戶鎖定。

位置

電腦設定\Windows 設定\安全性設定\Account Policy\Account Lockout 策略

Or

電腦設定\原則\Windows 設定\安全設定\帳戶原則\帳戶鎖定原則

預設值

下表列出實際及有效的預設策略值。 預設值也會列在策略的屬性頁面上。

預設值

GPO 伺服器類型或群組原則物件 (GPO) 預設值

預設網域策略 未定義

預設網域控制站策略 未定義

獨立伺服器預設設定 不適用

網域控制站的有效預設設定 未定義

成員伺服器有效預設設定 未定義

用戶端電腦的有效預設設定 不適用

安全性考量

本節說明攻擊者如何惡意探索功能或其設定、如何實作因應對策，以及實作因應對策可能的負面後果。

弱點

如果使用者多次輸入密碼錯誤，可能會不小心將自己鎖定在帳戶外。

因應對策

Windows 安全性比較基準建議將策略**** 設定為 15 之後，將帳戶鎖定計數器設定為 15。

可能的影響

如果您沒有設定此策略設定，或是值設定為太長的時間間隔，攻擊者可能會嘗試登入每個使用者的帳戶數次並鎖定其帳戶，則拒絕服務 (DoS) 攻擊可能會成功，或者系統管理員可能必須手動解除鎖定所有鎖定的帳戶。 如果您將這個策略設定為合理的值，使用者可以在合理的時間內，在登入失敗後執行新的登入嘗試，而不會讓強權攻擊在高速下可行。 請務必將此策略設定所使用的值通知使用者，讓使用者等候鎖定計時器到期，再打電話給技術支援人員。

# Windows Server 2019 default: 30

https://docs.microsoft.com/zh-tw/windows/security/threat-protection/security-policy-settings/reset-account-lockout-counter-after