Configura il lock-out automatico delle sessioni di lavoro

Perché è importante il lock out automatico

Lo scopo del blocco dell'account è rendere più difficile il successo degli attacchi per indovinare le password. Se il blocco dell'account non è configurato, un utente malintenzionato può automatizzare un tentativo di accesso con account utente diversi, provando password comuni e ogni possibile combinazione di otto caratteri o meno in un lasso di tempo molto breve, finché uno finalmente funziona. Quando è configurato il blocco dell'account, Windows blocca l'account dopo un certo numero di tentativi di accesso non riusciti e blocca ulteriori tentativi di accesso anche se viene fornita la password corretta.


Il blocco dell'account di Windows può essere configurato con queste tre impostazioni:

  • Soglia di blocco dell'account: il numero di tentativi di accesso non riusciti che attivano il blocco dell'account. Se impostato su 0, il blocco dell'account è disabilitato e gli account non vengono mai bloccati.
  • Durata del blocco dell'account: il numero di minuti in cui un account rimane bloccato prima che venga sbloccato automaticamente. Se impostato su 0, l'account rimane bloccato fino a quando un amministratore non lo sblocca esplicitamente.
  • Reimposta contatore blocco account dopo: il numero di minuti dopo un tentativo di accesso non riuscito prima che il contatore di accesso errato venga reimpostato su 0. Il contatore viene reimpostato anche dopo un accesso riuscito. Gli attacchi di forza bruta alle password possono essere automatizzati per provare migliaia o addirittura milioni di combinazioni di password per uno o tutti gli account utente. La limitazione del numero di accessi non riusciti eseguibili elimina quasi completamente l'efficacia di tali attacchi. Tuttavia, è importante notare che un attacco denial-of-service (DoS) potrebbe essere eseguito su un dominio in cui è configurata una soglia di blocco dell'account. Un utente malintenzionato potrebbe tentare a livello di codice una serie di attacchi alle password contro tutti gli utenti dell'organizzazione. Se il numero di tentativi fosse maggiore del valore della soglia di blocco dell'account, l'autore dell'attacco potrebbe potenzialmente bloccare tutti gli account.