Как заблокировать Windows 10 если кто-то пытается угадать пароль

Учётная запись пользователя заблокирована и не может быть использована для входа в сеть

Сегодняшняя статья пригодится в первую очередь корпоративным пользователям компьютеров на базе Windows, работающим со стандартными локальными учётными записями. Тогда как вход в учётные записи со статусом администратора могут выполнять только доверенные лица компании в виде сотрудников IT-раздела. Хотя при определённом семейном микроклимате с описываемой ниже проблемой можно столкнуться, используя домашние устройства. Что же за проблема такая? А это невозможность доступа к Windows с уведомлением на экране блокировки «Учётная запись пользователя заблокирована и не может быть использована для входа в сеть». Что за блокировка такая, и как с ней бороться?

Учётная запись пользователя заблокирована и не может быть использована для входа в сеть

Итак, не можем войти в Windows, потому что на экране блокировки видим это.

Такая блокировка является результатом определённого количества неудачных попыток авторизации в локальной учётке, если администратором компьютера внесены соответствующие настройки локальной групповой политики.

Блокировка учётных записей Windows

Администратор компьютера в локальных групповых политиках может установить то или иное число попыток входа в учётные записи пользователей. При превышении этого числа попыток учётка блокируется для входа. Это такая защита от подбора паролей. Даже если дело имеем не с ситуацией попытки подбора пароля к чужой учётке, а просто её истинный владелец невнимательно вводил символы или не посмотрел на раскладку клавиатуры, войти в систему не удастся даже при вводе верного пароля. Придётся выждать установленное администратором время, пока не будет сброшен счётчик попыток входа. И, естественно, пока не истечёт время самой блокировки.
Устанавливается такая защита от подбора паролей в редакторе локальной групповой политики, в политике блокировки учётных записей.

Здесь вводится пороговое значение блокировки, т.е. допустимое число попыток ввода пароля.

При установке такого порогового значения другие параметры политики – время до сброса счётчика блокировки и длительность самой блокировки – автоматически будут установлены на 30 минут.

Их при необходимости можно сменить. И, к примеру, установить меньшее время для сброса счётчика неудачных попыток ввода пароля.

А время блокировки самой учётной записи, наоборот, увеличить.

Распространяется такая защита только на локальные учётки и не работает при попытках подбора пароля или пин-кода для подключённых аккаунтов Microsoft.

Разблокировать заблокированную учётную запись можно несколькими путями:
• Дождаться завершения времени блокировки. Но здесь есть нюанс: сколько времени нужно ждать, система не уведомляет. Об этом знает только администратор компьютера;
• Войти в систему с учётки администратора и снять блокировку;
• Если доступ к учётке администратора невозможен, снять блокировку, загрузившись со съёмного устройства и подправив кое-что в реестре Windows.

Как разблокировать свою учётную запись Windows, если есть доступ к администратору

Если своя учётка заблокирована, но есть доступ к учётке администратора, необходимо войти в последнюю и разблокировать свою таким образом. Жмём клавиши Win+R, вводим:

В открывшемся окне в папке «Пользователи» ищем свою учётную запись и делаем на ней двойной клик.

В окошке открывшихся свойств снимаем галочку «Заблокировать учётную запись». Применяем.

Пробуем войти в свою учётку.

Примечание: если у вас нет пароля к учётке администратора, не стоит пытаться войти с помощью подбора. Защита от подбора паролей действует на все локальные учётные записи, в том числе и на администратора. Его учётка после определённого количества неудачных попыток авторизации также будет заблокирована.

Как разблокировать свою учётную запись Windows, если нет доступа к администратору

Если доступа к учётной записи администратора нет, добываем DVD-диск или флешку с процессом установки любой версии Windows или Live-диск с возможностью правки реестра операционной системы. Загружаем компьютер со съёмного устройства, в нашем случае это флешка установки Windows 10. Важно: запуск со съёмного устройства должен проводиться только при перезагрузке систем Windows 8.1 и 10. Нельзя использовать обычное завершение работы, поскольку в этих версиях из-за функции ускоренного запуска системное ядро загружается из ранее сохранённого на диске файла. Нам же нужно, чтобы ядро загрузилось с изменёнными параметрами реестра.

На первом этапе установки Windows жмём Shift+F10. Запускаем реестр командной строкой:

Кликаем раздел HKEY_LOCAL_MACHINE. Далее жмём меню «Файл», здесь нам нужен пункт «Загрузить куст».

В окне обзора выходим в корень устройств «Этот компьютер» и заходим в раздел Windows. У нас он обозначен как диск (C:), но диск системы также может значиться и под другой буквой. Тут нужно ориентироваться по объёму раздела. На системном разделе раскрываем папки «Windows», далее – «System32», далее – «config». Внутри последней нам нужен файл SAM, это так называемый куст реестра, открываем его.

Открытый куст нужно как-то назвать, имя непринципиально. Назовём его 777.

Внутри раздела реестра HKEY_LOCAL_MACHINE теперь наблюдаем новую ветвь 777. Раскрываем внутри неё путь:
777 – SAM – Domains – Account – Users – Names

Находим имя своей учётки в папке «Names». Нам, например, нужен пользователь Вася. Смотрим, что при выборе Васи отображается на панели реестра справа. У нас значение 0x3f8. Такое же значение, но только в ином формате написания – с лишними нулями спереди и капсом – ищем теперь выше, внутри папки «Users».

Ставим курсор теперь на это значение с нулями и капсом. В правой панели реестра ищем параметр «F» и двойным кликом раскрываем его.

В окошке параметра нам нужна строка 0038. Её первые два значения (у нас это 10 и 00) заменяем.

Двойным кликом ЛКМ щёлкаем по очереди на каждом из двух значений, и когда те выделятся синим, вписываем другие значения. А эти другие значения должны быть 10 и 02 соответственно. В итоге жмём «Ок».

Теперь в окне реестра кликаем на загруженный и отредактированный куст, у нас это 777. И выгружаем его: жмём «Файл», далее- «Выгрузить куст».

Перезагружаемся. И можем снова пытаться войти в свою учётку. Друзья, если блокировка вашей учётки – это следствие превышения допустимого числа авторизаций из-за того, что вы забыли пароль (или его, возможно, сменил кто-то без вашего ведома), вы можете просто убрать пароль. Сделать это можно, в частности, тем же способом путём правки реестра со съёмного носителя, что описан выше, только там нужны чуть другие действия.

Как ограничить количество попыток ввода пароля при входе в Windows

OSmaster.org.ua > Windows > Как ограничить количество попыток ввода пароля при входе в Windows

По-умолчанию для любого пользователя Windows включено неограниченное количество попыток ввода пароля при входе в систему. Такая настройка дает возможность злоумышленникам подобрать ваш пароль (если он не сложный) путем перебора всех наиболее вероятных вариантов. Это особенно важно, если в вашем компьютере настроен вход через удаленный рабочий стол и он доступен из интернета.

Создание политики блокировки учетной записи (аккаунта) защитит вашу учетную запись от взлома путем ограничения попыток ввода пароля на определенное время. Таким образом злоумышленнику будет на много сложнее угадать ваш пароль. Ваш аккаунт будет автоматически блокироваться на заданное вами время после заданного вами количества неверно введенных паролей. По истечению заданного интервала учетная запись автоматически разблокируется и система позволит выполнить ввод пароля. Эта функция обеспечивает дополнительную защиту вашего аккаунта от целенаправленного перебора всех вариантов пароля.

К примеру, если вы установите всего 3 попытки на ввод пароля и блокировку аккаунта на 15 минут, то у злоумышленника будет максимум 12 попыток в час чтобы угадать или подобрать ваш пароль.

Рассмотрим несколько простых шагов как настроить политику блокировки учетных записей.

1. Кликните на кнопку Пуск, введите в поиске «Secpol.msc» и нажмите на клавишу Enter.

2. В окне локальных политик безопасности перейдите: Политики учетных записей -> Политика блокировки учетной записи.

3. Правой кнопкой мышки по записи «Пороговое значение блокировки» выберите из меню пункт «Свойства».

4. Введите выбранное вами значение попыток неправильного ввода пароля и нажмите на кнопку ОК.

5. Windows по-умолчанию установит значения по 30 минут для остальных двух параметров «Время до сброса счетчика блокировки» и «Продолжительность блокировки учетной записи». Изменить эти параметры можно таким же способом через меню правой кнопки мышки в свойствах.

Теперь после перезагрузки подобрать пароль к вашей системе будет намного сложнее.

Также рекомендую прочитать:

Оставить комментарий Отменить ответ

  • Как удалить все стандартные сторонние приложения из Windows 8 (Windows RT)(10,00 из 10)
  • Список новых функций в Windows 8.1(10,00 из 10)
  • Удобный плагин для навигации по файлам и папкам в Notepad++(10,00 из 10)
  • Как предоставить CD/DVD привод в общий доступ в Windows(10,00 из 10)
  • Как уменьшить уровень почти полной разрядки батареи до 1% в настройках Windows 7(10,00 из 10)
  • Сравнение программ для восстановления информации(10,00 из 10)
  • Как просматривать интернет страницы с помощью терминала Linux(10,00 из 10)
  • Как включить кнопку Mute для вкладок в Google Chrome(10,00 из 10)
  • Простой бэкап настроек ваших беспроводных сетей в Windows 7(10,00 из 10)
  • Создание ярлыка и горячих клавиш для отключения монитора(10,00 из 10)

Учетная запись пользователя заблокирована, что делать?

В статье рассказано как войти в систему, если Windows выдает сообщение «Учетная запись пользователя заблокирована и не может быть использована для входа в сеть».

Как правило, учетные записи пользователей корпоративных компьютеров всегда защищены паролем. Зачем нужна такая защита, полагаем, объяснять не нужно, в конце концов, таковы могут быть правила организации.

Но представьте себе такую ситуацию. Сотрудник садится за компьютер, вводит свой пароль и получает уведомление о том, что его учетная запись заблокирована и не может быть использована для входа в сеть. Что же случилось и почему, недоумевает он?

Причины блокировки учетной записи Windows

А случилось вот что. Сам пользователь или кто-то до него по ошибке ввели несколько раз неправильный пароль, в результате чего учетная запись была заблокирована.

Хорошо, но почему подобное не происходит на других компьютерах, скажем, домашних. Всё очень просто. Скорее всего, обслуживающий компьютеры предприятия системный администратор установил ограничение на количество неудачных попыток авторизации в учетной записи. Направлена эта дополнительная мера безопасности на защиту от подбора пароля.

Читайте также:  Стоит ли устанавливать Windows 10

ПРИМЕЧАНИЕ : данный метод защиты работает только для локальных учетных записей без использования пин-кода.

Задается настройка в редакторе локальных групповых политик. Там, в разделе параметров безопасности есть политика блокировки учетных записей, для которой доступны три опции:

  • пороговое значение блокировки;
  • время до сброса счетчика;
  • продолжительность блокировки.

По умолчанию время блокировки для включенной настройки составляет 30 минут, но что мешает администратору его увеличить?

Получается, чтобы ввести пароль повторно, вам придется ждать, пока не истечет установленный срок, кстати, время система не сообщает, либо дожидаться прихода администратора.

Решаем проблему

Впрочем, решить проблему вы можете и самостоятельно. Самый простой способ — это зайти в Windows под учетной записью администратора и снять блокировку. Возможно это, однако, только в том случае, если админ по доброте душевной доверил вам свой пароль. Предположим, что он у вас есть.

Зайдите в учетную запись, откройте командой lusrmgr.msc оснастку управления пользователями и группами, выделите слева каталог «Пользователи» и дважды кликните по названию своей учетной записи в средней колонке.

В открывшемся окошке на вкладке «Общие» снимите галочку с пункта «Заблокировать учётную запись». Примените настройки войдите свою учетную запись с правильным паролем.

Если доступа к учетной записи с правами администратора нет, придется действовать в обход. Для этого вам понадобиться обычный установочный диск с Windows.

Загрузитесь с диска, а когда на экране появится приглашение мастера, нажмите Shift + F10 и выполните в открывшейся командной строке команду regedit.

Запустится редактор реестра. Выделите в его левой колонке раздел HKEY_LOCAL_MACHINE, проследуйте в меню «Файл» и выберите пункт «Загрузить куст».

В открывшемся окне обзора зайдите в «Этот компьютер», выберите системный раздел → Windows → System32 → config.

Обратите внимание, что буква системного раздела в загрузочной среде отличается. У нас это D, у вас она может быть другой, ориентируйтесь по содержимому раздела.

В папке config у вас будет файл SAM, откройте его в окне обзора, это и есть нужный вам куст.

Редактор тут же предложит присвоить ему имя. Название может быть любым, пусть будет data. Теперь, если вы раскроете раздел HKEY_LOCAL_MACHINE, то увидите, что в нём появился новый каталог Data.

Разверните его до следующей папки:

В последнем подразделе найдите вложенную папку с именем вашей заблокированной учетной записи, кликните по ней и запишите число, отображаемое в правой части окна редактора в колонке «Тип».

Теперь перейдите на уровень выше, в подраздел Users и выделите подраздел, в качестве имени которого будет записанное вами число.

Его формат несколько иной, с нулями спереди и заглавными символами, главное, чтобы совпадали последние три символа. В этом подразделе будет двоичный параметр F.

Кликните по нему два раза, найдите в открывшемся окошке изменения значения параметра строку 0038 и замените первые два значения на 10 и 02. Сохраните результат, выделите мышкой загруженный куст (Data) и выберите в меню «Файл» опцию «Выгрузить куст».

Закройте редактор реестра, перезагрузите систему и попробуйте войти в систему с правильным паролем.

Если первый и второй способы не сработали?

Если этот способ не сработает, сбросьте пароль любым удобным вам способом, например, воспользовавшись утилитой NTPWEdit, входящей в состав загрузочного диска Live CD AOMEI PE Builder либо диском Active Password Changer — еще одной загрузочной средой, предназначенной для сброса забытых локальных паролей в Windows.

Если же оказия произошла на вашем домашнем компьютере с одной учетной записью, загрузитесь с помощью установочного диска с Windows в безопасный режим.

При этом у вас должна автоматически активироваться встроенная скрытая учетная запись администратора без пароля. Войдя в нее, разблокируйте свою учетку способом, описанным в четвертом абзаце.


Порог блокировки учетной записи Account lockout threshold

Область применения Applies to

В этой статье описаны рекомендации, расположение, значения и соображения по безопасности для параметра политики безопасности « порог блокировки учетной записи ». Describes the best practices, location, values, and security considerations for the Account lockout threshold security policy setting.

Справочник Reference

Параметр политики « порог блокировки учетной записи » определяет количество неудачных попыток входа, которое приводит к блокировке учетной записи пользователя. The Account lockout threshold policy setting determines the number of failed sign-in attempts that will cause a user account to be locked. Заблокированная учетная запись не может быть использована, пока не будет выполнена ее сброс или не будет задано количество минут, указанное в параметрах политики “срок блокировки учетной записи “. A locked account cannot be used until you reset it or until the number of minutes specified by the Account lockout duration policy setting expires. Вы можете задать значение, которое не может войти в From1 through999, или указать, что учетная запись не будет заблокирована, задав значение to0. You can set a value from1 through999 failed sign-in attempts, or you can specify that the account will never be locked by setting the value to0. Если для порога блокировки учетной записи задано значение больше нуля, Продолжительность блокировки учетной записи должна быть больше или равна значению счетчика сброса учетной записи после. If Account lockout threshold is set to a number greater than zero, Account lockout duration must be greater than or equal to the value of Reset account lockout counter after.

Пароли для принудительной перебора можно использовать для автоматического использования тысяч или даже миллионов сочетаний пароля для всех или всех учетных записей пользователей. Brute force password attacks can be automated to try thousands or even millions of password combinations for any or all user accounts. Ограничение числа неудачных входных данных, которые могут быть выполнены, заключается в том, что они не позволяют устранить эффективность подобных атак. Limiting the number of failed sign-ins that can be performed nearly eliminates the effectiveness of such attacks. Однако важно отметить, что атака типа “отказ в обслуживании” (DoS) может быть выполнена для домена, для которого настроено пороговое значение блокировки учетной записи. However, it is important to note that a denial-of-service (DoS) attack could be performed on a domain that has an account lockout threshold configured. Злоумышленник может программными средствами попытаться выполнить ряд атак на пароли для всех пользователей в Организации. A malicious user could programmatically attempt a series of password attacks against all users in the organization. Если количество попыток больше значения порога блокировки учетной записи, злоумышленник может заблокировать все учетные записи. If the number of attempts is greater than the value of Account lockout threshold, the attacker could potentially lock every account.

При попытке разблокировать рабочую станцию может возникнуть блокировка учетной записи, даже если Интерактивный вход: требуется проверка подлинности контроллера домена для разблокировки параметров безопасности рабочей станции . Failed attempts to unlock a workstation can cause account lockout even if the Interactive logon: Require Domain Controller authentication to unlock workstation security option is disabled. Если вы ввели тот же пароль, который вы использовали для разблокировки, Windows не обязана обратиться к контроллеру домена, но если вы ввели другой пароль, Windows будет обращаться к контроллеру домена на случай, если вы изменили свой пароль на другом компьютере. Windows doesn’t need to contact a domain controller for an unlock if you enter the same password that you logged on with, but if you enter a different password, Windows has to contact a domain controller in case you had changed your password from another machine.

Возможные значения Possible values

Для параметра политики порогового значения блокировки учетной записи можно настроить следующие значения: It is possible to configure the following values for the Account lockout threshold policy setting:

  • Определяемый пользователем номер в пределах от 0 до 999 A user-defined number from 0 through 999
  • Не определено Not defined

Поскольку при настройке этого значения могут существовать уязвимости, организации должны взвесить свои идентифицированные угрозы и риски, которые они пытаются устранить. Because vulnerabilities can exist when this value is configured and when it is not, organizations should weigh their identified threats and the risks that they are trying to mitigate. Сведения об этих параметрах можно найти в разделе контрмеры в этой теме. For information these settings, see Countermeasure in this topic.

Рекомендации Best practices

Выбор порогового значения — это баланс между эксплуатационной эффективностью и безопасностью и зависит от уровня риска организации. The threshold that you select is a balance between operational efficiency and security, and it depends on your organization’s risk level. Для того чтобы пользователи могли не получать ошибки и не воспрепятствовать атакам с помощью грубого применения, в плане безопасности Windows рекомендуется использовать значение 10, которое может быть приемлемой отправной точкой для вашей организации. To allow for user error and to thwart brute force attacks, Windows security baselines recommend a value of 10 could be an acceptable starting point for your organization.

Как и в случае с другими параметрами блокировки учетных записей, это значение является более предпочтительным, чем правило или рекомендация, так как не подходит ни один из размеров. As with other account lockout settings, this value is more of a guideline than a rule or best practice because there is no “one size fits all.” Дополнительные сведения можно найти в разделе Настройка блокировки учетных записей. For more information, see Configuring Account Lockout.

Реализация этого параметра политики зависит от вашей рабочей среды; векторы угроз, развернутые операционные системы и развернутые приложения. Implementation of this policy setting is dependent on your operational environment; threat vectors, deployed operating systems, and deployed apps. Дополнительные сведения можно найти в разделах вопросы реализации в этой теме. For more information, see Implementation considerations in this topic.

Назначение Location

Политика блокировки компьютеров Конфигуратионвиндовс Сеттингссекурити Сеттингсаккаунт ПолиЦиесаккаунт Computer ConfigurationWindows SettingsSecurity SettingsAccount PoliciesAccount Lockout Policy

Значения по умолчанию Default values

В приведенной ниже таблице перечислены фактические и действующие значения политики по умолчанию. The following table lists the actual and effective default policy values. Значения по умолчанию также указаны на странице свойств для параметра политики. Default values are also listed on the property page for the policy setting.

Читайте также:  Windows 9 — чего ожидать в новой операционной системе?
Тип сервера или объект групповой политики (GPO) Server type or Group Policy Object (GPO)Значение по умолчанию Default value
Политика домена по умолчанию Default domain policy0 недопустимых попыток входа 0 invalid sign-in attempts
Политика контроллера домена по умолчанию Default domain controller policyНе определено Not defined
Параметры по умолчанию отдельного сервера Stand-alone server default settings0 недопустимых попыток входа 0 invalid sign-in attempts
Действующие параметры по умолчанию для контроллера домена Domain controller effective default settings0 недопустимых попыток входа 0 invalid sign-in attempts
Действующие параметры по умолчанию для рядового сервера Member server effective default settings0 недопустимых попыток входа 0 invalid sign-in attempts
Действующие параметры GPO по умолчанию на клиентских компьютерах Effective GPO default settings on client computers0 недопустимых попыток входа 0 invalid sign-in attempts

Средства управления политикой Policy management

В этом разделе описаны возможности и инструменты, которые помогут вам управлять этим параметром политики. This section describes features and tools that are available to help you manage this policy setting.

Требования для перезапуска Restart requirements

Нет. None. Изменения, внесенные в этот параметр политики, вступают в силу без перезагрузки компьютера, когда они хранятся на локальном компьютере или распределены через групповую политику. Changes to this policy setting become effective without a computer restart when they are saved locally or distributed through Group Policy.

Вопросы реализации Implementation considerations

Реализация этого параметра политики зависит от вашей рабочей среды. Implementation of this policy setting is dependent on your operational environment. Вы должны рассматривать векторы угроз, развернутые операционные системы и развернутые приложения, например: You should consider threat vectors, deployed operating systems, and deployed apps, for example:

  • Вероятность кражи учетной записи или атаки через DoS зависит от структуры безопасности системы и среды. The likelihood of an account theft or a DoS attack is based on the security design for your systems and environment. Вы должны установить пороговое значение блокировки учетной записи для рассмотрения известного и опасного риска этих угроз. You should set the account lockout threshold in consideration of the known and perceived risk of those threats.
  • При согласовании типов шифрования между клиентами, серверами и контроллерами домена протокол Kerberos может автоматически попытаться выполнить вход в учетную запись, которая будет подсчитывать ограничения пороговых значений, заданные в этом параметре политики. When negotiating encryption types between clients, servers, and domain controllers, the Kerberos protocol can automatically retry account sign-in attempts that count toward the threshold limits that you set in this policy setting. В средах с развернутыми различными версиями операционной системы согласование типов шифрования возрастает. In environments where different versions of the operating system are deployed, encryption type negotiation increases.
  • Не все приложения, используемые в вашей среде, эффективно управляют количеством пользователей, которые пользователь может попытаться войти. Not all apps that are used in your environment effectively manage how many times a user can attempt to sign-in. Например, если при запуске приложения приложение постоянно повторяется, все последующие попытки входа в систему с ошибкой будут подсчитываться в соответствии с пороговым значением блокировки учетной записи. For instance, if a connection drops repeatedly when a user is running the app, all subsequent failed sign-in attempts count toward the account lockout threshold.

Дополнительные сведения о рекомендациях по безопасности Windows для блокировки учетных записей приведены в статье Настройка блокировки учетных записей. For more information about Windows security baseline recommendations for account lockout, see Configuring Account Lockout.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

С помощью автоматических методов, которые могут использовать пароли для любой учетной записи пользователя, можно воспользоваться автоматизированными методами. Brute force password attacks can use automated methods to try millions of password combinations for any user account. Эффективность подобных атак может быть практически исключена, если ограничить количество попыток входа, которые можно выполнить. The effectiveness of such attacks can be almost eliminated if you limit the number of failed sign-in attempts that can be performed. Тем не менее, для домена, для которого настроено пороговое значение блокировки учетной записи, может быть выполнена атака DoS. However, a DoS attack could be performed on a domain that has an account lockout threshold configured. Злоумышленник может программными средствами попытаться выполнить ряд атак на пароли для всех пользователей в Организации. An attacker could programmatically attempt a series of password attacks against all users in the organization. Если количество попыток превышает пороговое значение блокировки учетной записи, злоумышленник может блокировать все учетные записи без каких бы то ни было специальных прав или проверки подлинности в сети. If the number of attempts is greater than the account lockout threshold, the attacker might be able to lock every account without needing any special privileges or being authenticated in the network.

Примечание. Автономные пароли не передаются с помощью этого параметра политики. Note: Offline password attacks are not countered by this policy setting.

Противодействие Countermeasure

Поскольку при настройке этого значения могут существовать уязвимости, а если оно не настроено, определяются два отдельных контрмеры. Because vulnerabilities can exist when this value is configured and when it is not configured, two distinct countermeasures are defined. Организации должны взвесить выбор между двумя, основываясь на их идентифицированных угрозах и рисках, которые они хотят уменьшить. Organizations should weigh the choice between the two, based on their identified threats and the risks that they want to mitigate. Существуют два варианта контрмеры. The two countermeasure options are:

Установите для параметра порог блокировки учетной записи значение 0. Configure the Account lockout threshold setting to 0. Эта конфигурация гарантирует, что учетные записи не будут заблокированы и это не помешает атаке DoS, которая преднамеренно предпримет попытку заблокировать учетные записи. This configuration ensures that accounts will not be locked, and it will prevent a DoS attack that intentionally attempts to lock accounts. Кроме того, эта конфигурация помогает сократить количество звонков в службу поддержки, так как пользователи не могут случайно заблокировать их учетные записи. This configuration also helps reduce Help Desk calls because users cannot accidentally lock themselves out of their accounts. Так как это не мешает атаке с помощью функции «грубая сила», такую конфигурацию следует выбирать только в том случае, если оба указанных ниже условия выполняются явно. Because it does not prevent a brute force attack, this configuration should be chosen only if both of the following criteria are explicitly met:

  • Для параметров политики паролей требуется, чтобы все пользователи имели сложные пароли с 8 или более символами. The password policy setting requires all users to have complex passwords of 8 or more characters.
  • Для администраторов, которые могут использовать в среде ряд неудачных входных данных, можно использовать устойчивый механизм аудита. A robust audit mechanism is in place to alert administrators when a series of failed sign-ins occur in the environment.

Настройте для параметра политики порогов блокировки учетной записи достаточно большое значение, чтобы пользователи могли случайно неправильно вводить пароль, прежде чем учетная запись будет заблокирована, но убедитесь в том, что атака с использованием пароля по умолчанию блокирует учетную запись. Configure the Account lockout threshold policy setting to a sufficiently high value to provide users with the ability to accidentally mistype their password several times before the account is locked, but ensure that a brute force password attack still locks the account.

Базовые планы безопасности для Windows рекомендуют настроить пороговое значение, равное 10 недопустимых входов, что предотвращает случайную блокировку учетных записей и сокращает количество звонков в службу поддержки, но не препятствует атаке DOS. Windows security baselines recommend configuring a threshold of 10 invalid sign-in attempts, which prevents accidental account lockouts and reduces the number of Help Desk calls, but does not prevent a DoS attack. Для разблокировки заблокированных учетных записей с помощью этого типа политики должны сопровождаться некоторые процессы. Using this type of policy must be accompanied by a process to unlock locked accounts. Эту политику следует применять в том случае, если она нужна для предотвращения больших блокировок, вызванных атакой на системы. It must be possible to implement this policy whenever it is needed to help mitigate massive lockouts caused by an attack on your systems.

Возможное влияние Potential impact

Если этот параметр включен, заблокированная учетная запись не будет использоваться, пока она не будет сброшена администратором или пока не истечет срок действия блокировки учетной записи. If this policy setting is enabled, a locked account is not usable until it is reset by an administrator or until the account lockout duration expires. При включении этого параметра, возможно, будет создано несколько дополнительных звонков в службу поддержки. Enabling this setting will likely generate a number of additional Help Desk calls.

Если вы настроили для параметра политики порогов блокировки учетной записи значение 0, то есть вероятность того, что злоумышленник не сможет найти пароли с помощью атаки с парольной принудительной подстановкой, которая может быть недоступна, если не установлен надежный механизм аудита. If you configure the Account lockout threshold policy setting to 0, there is a possibility that an malicious user’s attempt to discover passwords with a brute force password attack might go undetected if a robust audit mechanism is not in place.

Если вы настроили этот параметр политики на число больше нуля, злоумышленник сможет легко блокировать все учетные записи, для которых известно имя учетной записи. If you configure this policy setting to a number greater than 0, an attacker can easily lock any accounts for which the account name is known. Это особенно опасно, учитывая, что для блокировки учетных записей необходимы учетные данные, отличные от доступа к сети. This is especially dangerous considering that no credentials other than access to the network are necessary to lock the accounts.

Блокируем вход в Windows 10 после неправильных попыток ввода пароля

Здравствуйте. А Вы знаете, что в операционной системе Windows 10 можно изменять количество попыток введения пароля, и если они закончатся, то ОС будет заблокирована на некоторое время? Конечно же, есть пути обхода подобной блокировки, но в некоторых ситуациях подобный функционал может быть полезен. Сегодня я детально расскажу о методах ограничения ввода пароля при входе в Виндовс 10.

Используем командную строку

Сразу же подчеркну, что все перечисленные способы актуальны лишь для локальной четной записи пользователя. Если Вы используете аккаунт Microsoft, то нужно зайти в параметры, раздел учетных записей и там переключиться на «локалку».

Данная инструкция подойдет для любой редакции Windows:

  • Запускаем утилиту CMD с правами админа. Все способы описаны в статье по ссылке, но проще всего это сделать, кликнув правой кнопкой мыши по кнопке «Пуск» и выбрав из меню пункт «командная строка (администратор):

  • Чтобы просмотреть значение нужных показателей, вводим команду:
  • Отправляем на выполнение, нажав Enter и видим следующую картину (у Вас может немного отличаться):

  • Чтобы изменить количество попыток, после использования которых наступит блокировка, вводим:

net accounts /lockoutthreshold:5

  • Цифра “5” в конце команды может быть изменена на любое другое значение. Например, установив 0, Вы полностью уберете окно, запрашивающее код безопасности.
  • По умолчанию система не будет никого впускать на протяжении 30 минут. По истечению этого срока можно будет снова попытаться указать пароль. Чтобы изменить время блокировки, используйте команду:

net accounts /lockoutduration:100

  • Вместо “100” можете указать другое количество минут, но не менее 30, иначе запрос выполниться с ошибкой.
  • Теперь можно спокойно закрывать окно консоли и перейти к проверке. Достаточно выйти из учетной записи и ввести неправильное значение пароля столько раз, сколько вы указали в настройках выше.

Блокируем вход в Windows 10 в редакторе ЛГП

Ранее я рассказывал Вам о возможностях редактора локальной групповой политики. Увы, его функционал доступен только для пользователей Виндовс версии не ниже «Профессиональной».

  • Запуск данной встроенной утилиты осуществляется через консоль «Выполнить», которая вызывается нажатием клавиш Win + R . Затем пишем в строке ввода:

  • После клика на кнопку «ОК» откроется окно, где слева будет перечень папок. Нужно сначала раскрыть «Конфигурацию компьютера», потом выбрать «Конфигурацию Виндовс» – «Параметры безопасности». Внутри будет каталог с названием «Политики учетных записей» с вложенной опцией блокировки.
  • Теперь переводим взгляд на правую часть окна, где расположено три опции, позволяющих изменить количество попыток и период «заморозки»:

  • Редактирование осуществляется путем двойного клика на параметре и указании нужного значения.
  • После внесения изменений перезагрузка компьютера не требуется, все корректировки автоматически применяются и будут доступны при следующем входе в систему.

Стоит отметить, что подобный функционал может сыграть с Вами злую шутку. Если какой-то недоброжелатель намерено будет вводить неправильный пароль, то после определенного количества попыток Windows 10 заблокируется на установленное Вами время. И тогда Вы ничего не сможете сделать, пока окно ввода снова не станет доступно.

Как поставить пароль на Windows, убрать его и сбросить, если вдруг забудете

Механизм парольной защиты Windows оберегает данные и настройки пользователя. Но он также может стать причиной неудобств и серьёзных проблем. Лайфхакер объясняет, как правильно обращаться с паролем в различных ситуациях.

Обратите внимание: для выполнения большинства инструкций из этой статьи вы должны использовать локальную учётную запись Windows с правами администратора.

Как поставить пароль на компьютер с Windows

Если к вашему компьютеру имеют доступ другие люди, разумно защитить Windows паролем. Так ваши настройки и данные будут в безопасности: без специальных знаний никто не сможет их просмотреть или изменить. Windows будет запрашивать пароль при включении компьютера, при смене учётной записи или после выхода из спящего режима.

Как поставить пароль на Windows 10

  1. Откройте раздел «Пуск» → «Параметры» (значок в виде шестерёнки) → «Учётные записи» → «Параметры входа».
  2. Нажмите «Добавить» под пунктом «Пароль».
  3. Заполните поля в соответствии с подсказками системы и нажмите «Готово».

Как поставить пароль на Windows 8.1, 8

  1. В правой боковой панели нажмите «Параметры» (значок в виде шестерёнки) → «Изменение параметров компьютера». В меню открывшегося окна выберите «Учётные записи» (или «Пользователи»), а затем «Параметры входа».
  2. Нажмите на кнопку «Создание пароля».
  3. Заполните поля, нажмите «Далее» и «Готово».

Как поставить пароль на Windows 7, Vista, XP

  1. Откройте раздел «Пуск» → «Панель управления» → «Учётные записи пользователей».
  2. Выберите нужную учётную запись и кликните «Создание пароля» или сразу нажмите «Создание пароля своей учётной записи».
  3. Заполните поля с помощью подсказок системы и нажмите на кнопку «Создать пароль».

Как убрать пароль при входе в Windows любой версии

Если посторонние не имеют физического доступа к вашему компьютеру, возможно, защиту лучше отключить. Это избавит от необходимости вводить пароль при каждом запуске системы.

  1. Воспользуйтесь комбинацией клавиш Windows + R и введите в командной строке netplwiz (или control userpasswords2, если первая команда не сработает). Нажмите Enter.
  2. В открывшемся окне выделите в списке учётную запись, для которой хотите убрать пароль, и снимите галку возле пункта «Требовать ввод имени пользователя и пароля». Нажмите ОK.
  3. Введите пароль, его подтверждение и кликните ОK.

Windows перестанет запрашивать пароль только при включении компьютера. Но если вы заблокируете экран (клавиши Windows + L), выйдете из системы или компьютер перейдёт в спящий режим, то на дисплее всё равно появится запрос пароля.

Если опция «Требовать ввод имени пользователя и пароля» окажется недоступной или вы захотите не отключить, а полностью удалить пароль Windows, попробуйте другой способ для более опытных пользователей.

Для этого откройте раздел управления учётными записями по одной из инструкций в начале этой статьи.

Если в открытом разделе будет сказано, что вы используете онлайн-профиль Microsoft (вход по email и паролю), отключите его. Затем воспользуйтесь подсказками системы, чтобы создать локальный профиль, но в процессе не заполняйте поля для пароля.

После отключения учётной записи Microsoft система перестанет синхронизировать ваши настройки и файлы на разных компьютерах. Некоторые приложения могут отказаться работать.

Если в меню управления учётными записями изначально активным будет локальный профиль, то просто измените текущий пароль, оставив поля для нового пароля пустыми.

При удалении старого пароля система никогда не будет запрашивать его, пока вы не добавите новый.

Как убрать пароль при выходе из спящего режима

Если отключить запрос пароля при запуске Windows, система по-прежнему может запрашивать его при пробуждении. Но вы можете деактивировать эту функцию отдельно с помощью этих инструкций.

Как убрать пароль при пробуждении Windows 10, 8.1, 8, 7 и Vista

  1. В строке поиска в Windows введите «Электропитание» и кликните по найденной ссылке на раздел с таким же названием. Или найдите его вручную через «Панель управления».
  2. Нажмите «Запрос пароля при пробуждении», затем «Изменение параметров, которые сейчас недоступны» и отметьте флажком опцию «Не запрашивать пароль».
  3. Сохраните изменения.

Как убрать пароль при пробуждении Windows XP

  1. Откройте раздел «Панель управления» → «Электропитание».
  2. В появившемся окне откройте вкладку «Дополнительно» и снимите галку возле пункта «Запрашивать пароль при выходе из ждущего режима».
  3. Сохраните изменения.

Как сбросить пароль на Windows любой версии

Если вы забыли пароль и не можете войти в локальный профиль администратора Windows, вовсе не обязательно переустанавливать ОС. Есть выход попроще: сброс парольной защиты. Для этого вам понадобятся другой компьютер, USB-накопитель и бесплатная утилита для сброса пароля.

Создайте загрузочную флешку на другом ПК

  1. Загрузите установщик программы Lazesoft Recover My Password на любой доступный компьютер.
  2. Запустите скачанный файл и выполните установку.
  3. Подключите флешку к компьютеру. Если нужно, сделайте копию хранящихся на ней файлов, поскольку всю информацию придётся удалить.
  4. Откройте Lazesoft Recover My Password, кликните Burn Bootable CD/USB Disk Now! и создайте загрузочную флешку с помощью подсказок программы.

Загрузите компьютер с помощью флешки

  1. Вставьте подготовленный USB-накопитель в компьютер, пароль от которого вы забыли.
  2. Включите (или перезагрузите) ПК и, как только он начнёт загружаться, нажмите на клавишу перехода в настройки BIOS. Обычно это F2, F8, F9 или F12 — зависит от производителя оборудования. Чаще всего нужная клавиша высвечивается на экране во время загрузки BIOS.
  3. Находясь в меню BIOS, перейдите в раздел загрузки Boot, если система не перенаправила вас туда сразу.
  4. В разделе Boot установите флешку на первое место в списке устройств, который появится на экране. Если не знаете, как это сделать, осмотритесь — рядом должны быть подсказки по поводу управления.
  5. Сохраните изменения.

Если BIOS тоже защищена паролем, который вам неизвестен, то вы не сможете сбросить парольную защиту Windows с помощью Lazesoft Recover My Password.

Возможно, вместо классической BIOS вы увидите более современный графический интерфейс. Кроме того, даже в различных старых версиях BIOS настройки могут отличаться. Но в любом случае порядок действий будет примерно одинаковым: зайти в меню загрузки Boot, выбрать источником нужный USB-накопитель и сохранить изменения.

После этого компьютер должен загрузиться с флешки, на которую записана утилита Lazesoft Recover My Password.

Сбросьте пароль в Lazesoft Recover My Password

  1. Выберите Lazesoft Live CD (EMS Enabled) и нажмите Enter.
  2. Сбросьте пароль для своей учётной записи с помощью подсказок Lazesoft Recover My Password.
  3. Перезагрузите компьютер.

После этих действий Windows перестанет запрашивать старый пароль, а вы сможете задать новый по инструкции в начале статьи.

Читайте также:  Отправка сообщений SMS, просмотр фото и уведомлений Android на компьютере в приложении «Ваш телефон» Windows 10
Ссылка на основную публикацию