账户锁定策略：配置指南

---

在本指南中，您将了解三个帐户锁定策略设置以及如何正确配置每个策略设置。

我将参考 Windows 安全基准（又名 Microsoft 安全工具包）和 CIS 基准中推荐的帐户锁定策略设置。

目录：

• 什么是帐户锁定政策？

• 帐户锁定策略设置和最佳实践

  • 账户锁定时长
• 账户锁定阈值
• 重置帐户锁定计数器之后

如何创建帐户锁定策略

什么是帐户锁定政策？

帐户锁定策略是一组三个组策略设置，用于控制用户帐户被锁定的时间和时长。

此策略对于安全至关重要，因为它可以帮助防止恶意用户或黑客访问您的帐户和计算机系统。

什么是锁定？

当您配置了帐户锁定策略后，用户帐户将在多次失败的登录尝试后被锁定。

例如，如果黑客输入错误密码三次，如果有正确配置的锁定策略，则该帐户将被锁定。这有助于防止未经授权访问您的网络。如果未配置策略或配置不正确，黑客可能会不断猜测帐户的密码。

默认情况下，Active Directory 没有帐户锁定策略。

在下一节中，我将介绍每个策略设置、默认值和建议的设置。

相关：如何查找帐户锁定的根源

帐户锁定策略设置和最佳实践

在组策略中，锁定策略设置位于：

计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 帐户策略 -> 帐户锁定策略

这是默认设置的屏幕截图。默认情况下，未定义这些策略设置。

通常使用默认域策略 GPO 配置这些设置，但您可以将它们添加到新的或现有的 GPO。由你决定。

账户锁定时间

帐户锁定持续时间设置确定帐户在自动解锁之前被锁定的分钟数。

如果将此策略设置为 0，则该帐户将不会自动解锁，必须由管理员手动解锁。

例如，如果帐户锁定持续时间设置为 15 分钟，则用户“joe.smith”被锁定。 15分钟后自动解锁。

推荐设置：

• Windows 安全基线：15 分钟
• CIS 基准：15 分钟或以上

账户锁定阈值

帐户锁定阈值设置确定导致用户帐户被锁定的失败登录尝试次数。

账户被锁定后，必须手动重置或根据锁定时长策略自动重置后才能使用。

例如，如果锁定阈值设置为5，并且用户“joe.smith”尝试使用错误密码登录5次，则该帐户将被锁定。在管理员手动解锁帐户或通过锁定持续时间策略重置帐户之前，乔将无法登录。

推荐设置：

• Windows 安全基线：10
• CIS 基准：5 个或更少，但不为 0

微软说：

您选择的阈值是运营效率和安全性之间的平衡，它取决于您组织的风险级别。为了允许用户错误并阻止暴力攻击，Windows 安全基线建议值 10 可能是您的组织可接受的起点。

https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/account-lockout-threshold

在我看来，10 次允许尝试密码次数过多。相反，我建议锁定阈值为 5 个或更少。

重置帐户锁定计数器之后

此策略设置确定失败登录尝试计数器重置为 0 次错误登录尝试的时间（以分钟为单位）。

例如，如果用户“joe.smith”尝试登录并输入错误的密码，则会增加失败登录尝试计数器。此策略会将该计数器重置为 0。

建议将此策略设置为小于或等于账户锁定时长。

推荐设置：

• Windows 安全基线：15 分钟
• CIS 基准：15 分钟或以上

现在您已经了解了每个设置的用途及其推荐设置，让我们逐步创建帐户锁定策略。

如何创建帐户锁定策略

对于这些步骤，我将使用 CIS 基准测试的推荐设置。

第 1 步：使用 PowerShell 检查帐户锁定策略

在修改或创建新的锁定策略之前，最好检查域的当前锁定策略。

您可以使用以下 PowerShell 命令轻松完成此操作。

Get-ADDefaultDomainPasswordPolicy | Select LockoutDuration,LockoutObservationWindow,LockoutThreshold | FL

下面的屏幕截图来自我的测试实验室。

步骤 2：编辑默认域策略

如果您愿意，可以将这些设置添加到另一个 GPO 或创建一个新 GPO。默认情况下，Microsoft 在默认域策略中包含密码策略，因此我喜欢将锁定策略保留在同一个 GPO 中。

第3步：修改帐户锁定政策

在默认域策略中，导航至帐户锁定策略部分。

计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 帐户策略 -> 帐户锁定策略

要修改每个策略设置，只需双击该策略即可编辑其设置。比如我打开“账户锁定时长”，输入30，然后点击确定。

根据您的要求设置 3 个策略设置。再次，我将使用 CIS 基准推荐设置。

• 帐户锁定时间：30分钟
• 帐户锁定阈值：5次无效登录尝试
• 在 30 分钟后重置帐户锁定计数器

完成后，应定义所有 3 个策略设置。

步骤 4：测试帐户锁定策略

要测试策略尝试，请登录并输入错误密码 5 次（或您设置的锁定阈值），帐户应被锁定。

下面是我的帐户在 5 次登录尝试失败后被锁定的屏幕截图。

我现在必须等待 30 分钟或让管理员手动解锁我的帐户，然后才能尝试再次登录。

这就是本指南的内容。

如果您有疑问或意见，请在下面发布。