Verrouillage de compte

Vous pouvez utiliser la fonctionnalité de verrouillage de compte, afin d'indiquer le nombre d'authentifications d'accès distant autorisées pour un compte d'utilisateur valide, avant que l'accès ne soit refusé. Le verrouillage de compte se révèle particulièrement important pour les connexions d'accès distant VPN via Internet. Les utilisateurs malveillants d'Internet peuvent tenter d'accéder à l'intranet d'une entreprise en envoyant des informations d'identification (nom d'utilisateur valide, mot de passe aléatoire) durant le processus d'authentification de la connexion VPN. Au cours d'une attaque basée sur un dictionnaire, l'utilisateur malveillant envoie des centaines ou des milliers d'informations d'identification, en utilisant une liste de mots de passe basés sur des mots ou des expressions courantes.

Grâce à l'activation du verrouillage de compte, une attaque de ce type peut être contrée au-delà d'un nombre défini de tentatives infructueuses. En tant qu'administrateur réseau, vous devez choisir deux variables de verrouillage de compte :

Le nombre de tentatives infructueuses avant de refuser tout nouvel accès.

Après chaque tentative infructueuse, un compteur de tentatives infructueuses est incrémenté pour le compte de l'utilisateur. Si le compteur de tentatives infructueuses du compte d'utilisateur atteint la valeur maximale configurée, les tentatives de connexion ultérieures sont refusées.

Une authentification réussie réinitialise le compteur de tentatives infructueuses, lorsque sa valeur est inférieure à la valeur maximale configurée. En d'autres termes, le compteur de tentatives infructueuses cesse de s'incrémenter après une authentification réussie.

Fréquence de réinitialisation du compteur de tentatives infructueuses.

Vous devez périodiquement réinitialiser le compteur de tentatives infructueuses, pour empêcher les verrouillages accidentels de comptes liés aux fautes de frappe possibles des utilisateurs, lors de la saisie du mot de passe.

Vous activez la fonctionnalité de verrouillage de compte en modifiant les paramètres du Registre de Windows 2000, sur l'ordinateur chargé de gérer l'authentification. Si le serveur d'accès distant est configuré pour l'authentification Windows, modifiez le Registre sur l'ordinateur serveur d'accès distant. Si le serveur d'accès distant est configuré pour l'authentification RADIUS, et que le service IAS (Internet Authentication Service) de Windows 2000 est utilisé, modifiez le Registre sur le serveur IAS.

caution Caution

Une modification incorrecte du Registre peut endommager gravement votre système. Avant d'apporter des modifications au Registre, il est conseillé de sauvegarder les données de valeur stockées dans l'ordinateur.

Pour activer le verrouillage de compte, vous devez affecter à la rubrique valuée MaxDenials du Registre, une valeur supérieure ou égale à 1. MaxDenials représente le nombre maximal de tentatives infructueuses avant que le compte ne soit verrouillé. Vous définissez la rubrique valuée MaxDenials dans la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

Par défaut, MaxDenials est défini à 0, ce qui signifie que le verrouillage de compte est désactivé.

Pour modifier la durée nécessaire avant la réinitialisation du compteur de tentatives infructueuses, vous devez définir la rubrique valuée ResetTime (mins) du Registre au nombre de minutes souhaitées. Vous définissez la rubrique valuée ResetTime (mins) dans la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout

Par défaut, ResetTime (mins) est défini à 0xb40, ou 2 880 minutes (48 heures).

Réinitialisation manuelle d'un compte verrouillé

Pour réinitialiser manuellement un compte d'utilisateur verrouillé avant la réinitialisation automatique du compteur de tentatives infructueuses, supprimez la sous-clé de Registre suivante, qui correspond au nom du compte de l'utilisateur :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout\domain name:user name

note Note

Le verrouillage de compte d'accès distant n'est pas lié au paramètre Compte verrouillé de l'onglet Compte des propriétés d'un compte d'utilisateur.
La fonctionnalité de verrouillage de compte ne fait pas la différence entre les utilisateurs malveillants, qui tentent d'accéder à votre intranet, et les véritables utilisateurs, qui tentent de se connecter à distance mais qui ont oublié leur mot de passe en cours. Les utilisateurs ayant oublié leur mot de passe en cours essaient généralement le mot de passe dont ils croient se souvenir et, selon le nombre de tentatives et le paramètre MaxDenials, s'exposent au verrouillage de leur compte.
Si vous activez la fonctionnalité de verrouillage de compte, un utilisateur malveillant peut délibérément forcer un compte à être verrouillé, en effectuant plusieurs tentatives d'authentification sur le compte d'utilisateur, jusqu'à ce qu'il soit verrouillé, empêchant ainsi le véritable utilisateur de se connecter.