.

iT邦幫忙

1

機碼的應用問題

  • 分享至 

  • xImage

請教
是否有機碼可以設定鎖定次數的部分? 謝謝
Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy

.
圖片
  直播研討會

1 個回答

1
zivzhong
iT邦研究生 4 級 ‧ 2025-01-25 03:55:27
最佳解答

參考 Chatgpt 回答:
您好!

根據您提供的情況,您希望通過 機碼(Registry) 來設定 Windows 的 帳戶鎖定策略,以限制用戶的錯誤登入次數。這些策略包括鎖定閾值(Lockout Threshold)、鎖定持續時間(Lockout Duration)以及觀察窗口(Lockout Observation Window)。以下將詳細介紹如何通過機碼來配置這些設定。

一、帳戶鎖定策略的機碼位置

Windows 的帳戶鎖定策略可以通過修改以下機碼來設定:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

在此位置,您需要設置以下三個 DWORD 值:

  1. LockoutThreshold(鎖定閾值):定義在鎖定帳戶之前允許的錯誤登入次數。
  2. LockoutDuration(鎖定持續時間):定義帳戶被鎖定後,鎖定持續的時間(以分鐘為單位)。設定為 0 表示帳戶將被永久鎖定,直到管理員手動解鎖。
  3. LockoutObservationWindow(觀察窗口):定義在此時間窗口內的錯誤登入次數將被計算以觸發鎖定(以分鐘為單位)。

二、具體步驟

步驟 1:打開註冊表編輯器

  1. 按下 Win + R 鍵,輸入 regedit,然後按下 Enter 鍵。
  2. 如果出現用戶帳戶控制(UAC)提示,點擊 「是」 以允許進行更改。

步驟 2:導航到目標機碼位置

在註冊表編輯器中,依次展開以下路徑:

HKEY_LOCAL_MACHINE
 └── SYSTEM
     └── CurrentControlSet
         └── Services
             └── Netlogon
                 └── Parameters

步驟 3:新增或修改鎖定策略值

Parameters 鍵下,檢查是否已存在以下值:

  • LockoutThreshold
  • LockoutDuration
  • LockoutObservationWindow

若不存在,請按以下步驟新增:

  1. 新增 LockoutThreshold

    • 右鍵點擊右側窗格,選擇 「新增」 > 「DWORD (32-bit) Value」
    • 命名為 LockoutThreshold
    • 雙擊新建的 LockoutThreshold,選擇 「十進制」,並輸入您希望設定的錯誤登入次數(例如,5 次)。
  2. 新增 LockoutDuration

    • 重複上述步驟,命名為 LockoutDuration
    • 雙擊 LockoutDuration,選擇 「十進制」,並輸入鎖定持續時間(例如,15 分鐘)。若希望帳戶被永久鎖定,則輸入 0
  3. 新增 LockoutObservationWindow

    • 再次重複上述步驟,命名為 LockoutObservationWindow
    • 雙擊 LockoutObservationWindow,選擇 「十進制」,並輸入觀察窗口的時間(例如,15 分鐘)。

步驟 4:示範設定

假設您希望設定以下策略:

  • 鎖定閾值:5 次錯誤登入
  • 鎖定持續時間:15 分鐘
  • 觀察窗口:15 分鐘

您需要設置:

  • LockoutThreshold = 5
  • LockoutDuration = 15
  • LockoutObservationWindow = 15

步驟 5:應用更改

  1. 重啟 Netlogon 服務

    • 按下 Win + R 鍵,輸入 services.msc,然後按下 Enter 鍵。
    • 在服務列表中找到 「Netlogon」,右鍵點擊它,選擇 「重新啟動」

    或者,您也可以重啟整台電腦來應用更改。

三、範例 .reg 檔案

為了簡化操作,您可以使用以下內容創建一個 .reg 檔案,雙擊運行以自動添加或修改相關機碼:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"LockoutThreshold"=dword:00000005
"LockoutDuration"=dword:0000000f
"LockoutObservationWindow"=dword:0000000f

說明:

  • LockoutThreshold 設定為 5
  • LockoutDurationLockoutObservationWindow 都設定為 15 分鐘(0x0f 為 15 的十六進制表示)。

步驟:

  1. 打開記事本,將上述內容複製並貼上。
  2. 將檔案另存為 AccountLockoutPolicy.reg
  3. 雙擊該 .reg 檔案,並在提示時選擇 「是」 以允許將資料添加到註冊表。
  4. 重啟 Netlogon 服務或重啟電腦以應用更改。

四、注意事項

  1. 備份註冊表

    • 在進行任何註冊表更改之前,建議先備份現有的註冊表,以防止不必要的錯誤。
    • 在註冊表編輯器中,點擊 「檔案」 > 「匯出」,選擇一個安全的位置保存備份。
  2. 權限

    • 確保您具有管理員權限,否則無法修改系統級的註冊表設定。
  3. 組策略覆蓋

    • 如果您的電腦是加入到域(Domain)環境中,且使用了組策略(Group Policy)來管理帳戶鎖定策略,則本地的註冊表設定可能會被組策略覆蓋。此時,應該在域控制器上修改相應的組策略。
  4. 安全性考量

    • 設定過於寬鬆的帳戶鎖定策略可能會降低系統的安全性,而過於嚴格的策略可能會影響用戶體驗。請根據組織的安全需求進行適當設定。

五、其他方法

使用本地安全策略(Local Security Policy)

如果您不希望直接編輯註冊表,您可以通過 本地安全策略 來設定帳戶鎖定策略:

  1. 按下 Win + R 鍵,輸入 secpol.msc,然後按下 Enter 鍵。

  2. 在左側窗格中,導航到:

    本地安全策略 > 帳戶原則 > 帳戶鎖定原則
    
  3. 在右側窗格中,雙擊以下策略並進行設定:

    • 鎖定閾值:設定失敗登入次數後鎖定帳戶。
    • 鎖定持續時間:設定帳戶被鎖定後的持續時間。
    • 觀察窗口:設定計算失敗登入次數的時間窗口。
  4. 設定完成後,點擊 「確定」 並關閉本地安全策略編輯器。

使用 PowerShell

您也可以使用 PowerShell 來設定帳戶鎖定策略:

# 設定鎖定閾值為5次
Set-LocalAccountPolicy -LockoutThreshold 5

# 設定鎖定持續時間為15分鐘
Set-LocalAccountPolicy -LockoutDuration 15

# 設定觀察窗口為15分鐘
Set-LocalAccountPolicy -LockoutObservationWindow 15

注意:上述命令需要在支援的 PowerShell 版本中運行,且可能需要相應的模組。

六、總結

通過修改以下機碼,您可以配置 Windows 的帳戶鎖定策略:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

設定相關的 DWORD 值:

  • LockoutThreshold:錯誤登入次數閾值。
  • LockoutDuration:鎖定持續時間(分鐘)。
  • LockoutObservationWindow:觀察窗口(分鐘)。

請確保在進行這些更改後,重啟 Netlogon 服務或整台電腦以應用設定。此外,建議優先使用 本地安全策略組策略 來管理這些設定,以確保一致性和安全性。

如果您在設置過程中遇到任何問題,或需要進一步的協助,請隨時告知!

祝您順利解決問題!

我要發表回答

立即登入回答