На сколько блокируется компьютер при неправильном вводе пароля

Ищем источник блокировки учетной записи пользователя в Active Directory

09.02.2023

itpro

Active Directory, PowerShell, Windows Server 2019

комментария 102

В этой статье мы покажем, как отслеживать события блокировки учетных записей пользователей на котроллерах домена Active Directory, определять с какого компьютера и из какой конкретно программы постоянно блокируется учетная запись. Для поиска источника блокировки аккаунтов пользователей можно использовать журнал безопасности Windows, скрипты PowerShell или утилиту Account Lockout and Management Tools (Lockoutstatus.exe).

Учетная запись пользователя заблокирована и не может быть использована для входа в сеть

Политика безопасности учетных записей в большинстве организаций требует обязательного блокирования учетной записи пользователя в домене Active Directory, если он несколько раз подряд ввел неправильный пароль. Обычно учетная запись блокируется контроллером домена на несколько минут (5-30), в течении которых вход пользователя в домен невозможен. Через определение время (задается в политике безопасности домена), учетная запись пользователя автоматически разблокируется. Временная блокировка учетной записи позволяет снизить риск подбора пароля (простым брутфорсом) к учетным записям пользователей AD.

Если учётная запись пользователя в домене заблокирована, то при попытке входа в Windows появляется предупреждение:

Учетная запись пользователя заблокирована и не может быть использована для входа в сеть.

The referenced account is currently locked out and may not be logged on to ….

Как проверить, что аккаунт пользователя AD заблокирован?

Вы можете проверить, что аккаунт заблокирован в графический консоли ADUC или с помощью комнадлета Get-ADUser из модуля Active Directory для PowerShell:

Get-ADUser -Identity aaivanov -Properties LockedOut,DisplayName | Select-Object samaccountName, displayName,Lockedout

Учетная запись сейчас заблокирована и не может быть использована для авторизации в домене (Lockedout = True). Также в выводе команды вы видите информацию о времени смены пароля пользователя в домене и времени блокировки аккаунта.

Можно вывести сразу все заблокированные аккаунты в домене с помощью командлета Search-ADAccount:

Search-ADAccount -UsersOnly -lockedout

Вы можете вручную снять блокировку учетной записи с помощью консоли ADUC, не дожидаясь автоматической разблокировки. Для этого в свойствах учетной записи пользователя на вкладке Account, включите опцию Unlock account. This account is currently locked out on this Active Directory Domain Controller (Разблокируйте учетную запись. Учетная запись на этом контроллере домена Active Directory на данный момент заблокирована) и сохраните изменения.

Также можно немедленно разблокировать учетную запись с помощью командлета PowerShell Unlock-ADAccount:

Get-ADUser -Identity aaivanov | Unlock-ADAccount

Информацию о времени блокировки учетной записи, количестве неудачных попыток набора пароля, времени последнего входа пользователя в домен можно получить в свойствах учетной записи в консоли ADUC на вкладке редактора атрибутов или с помощью PowerShell

Политики блокировки учетных записей в домене

Политики блокировки учетных записей и паролей обычно задаются сразу для всего домена политикой Default Domain Policy в консоли gpmc.msc. Интересующие нас политики находятся в разделе Computer Configuration -> Windows Settings -> Security Settings -> Account Policy -> Account Lockout Policy (Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политики блокировки учетных записей). Это политики:

• Accountlockoutthreshold (Пороговое значение блокировки) – через сколько неудачных попыток набора пароля учетная запись должна быть заблокирована;
• Accountlockoutduration (Продолжительность блокировки учетной записи) – на какое время будет заблокирована учетная запись (по истечении этого времени блокировка будет снята автоматически);
• Resetaccountlockoutcounterafter (Время до сброса счетчика блокировки) – через какое время будет сброшен счетчик неудачных попыток авторизации.

Для защиты от перебора паролей рекомендуется использовать стойкие пароли пользователей в AD (использовать длину пароля не менее 8 символов и включить требования сложности. Это настраивается в разделе Password Policy в политиках Password must meet complexity requirements и Minimum password length. Периодически нужно выполнять аудит паролей пользователей.

Ситуации, когда пользователь забыл свой пароль и сам вызвал блокировку своей учетки случаются довольно часто. Но в некоторых случаях блокировка учеток происходит неожиданно, без каких-либо видимых причин. Т.е. пользоваться “клянется”, что ничего особого не делал, ни разу не ошибался при вводе пароля, но его учетная запись почему-то заблокировалась. Администратор по просьбе пользователя может вручную снять блокировку, но через некоторое время ситуация повторяется.

Чтобы решить проблему самопроизвольной блокировки учетной записи пользователя, администратору нужно разобраться с какого компьютера и какой программой была заблокирован аккаунт пользователя Active Directory.

События блокировки пользователей EventID 4740, 4625

В первую очередь администратору нужно разобраться с какого компьютера/сервера домена происходят попытки ввода неверных паролей и идет дальнейшая блокировка учетной записи.
Чтобы в журналах контроллеров домена записывались события блокировки учетных записей, нужно включить следующие подкатегории аудита на контроллерах домена в секции Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy -> Logon/Logoff:

• Audit Account Lockout
• Audit Logon
• Audit Logoff

Затем перейдите в раздел Account Management и включите политику:

• Audit User Account Management: Success

Проще всего включить эти параметры GPO через консоль gpmc.msc , отредактировав политику Default Domain Controller Policy.

Если пользователь ввел неверный пароль, то ближайший к пользователю контроллер домена перенаправляет запрос аутентификации на DC с FSMO ролью эмулятора PDC (именно он отвечает за обработку блокировок учетных записей). Если проверка подлинности не выполнилась и на PDC, он отвечает первому DC о невозможности аутентификации. Если количество неуспешных аутентификаций превысило значение, заданное для домена в политике Account lockout threshold, учетная запись пользователя временно блокируется.

При этом в журнале обоих контроллеров домена фиксируются событие с EventID 4740 с указанием DNS имени (IP адреса) компьютера, с которого пришел первоначальный запрос на авторизацию пользователя. Чтобы не анализировать журналы на всех DC, проще всего искать это события в журнале безопасности на PDC контроллере. Найти PDC в домене можно так:

Событие блокировки учетной записи домена можно найти в журнале Security (Event Viewer > Windows Logs) на контролере домена. Отфильтруйте журнал безопасности (Filter Current Log) по событию с Event ID 4740. Должен появиться список последних событий блокировок учетных записей контроллером домена. Переберите все события, начиная с самого верхнего и найдите событие, в котором указано, что учетная запись нужного пользователя (имя учетной записи указано в строке Account Name) заблокирована (A user account was locked out).

Примечание. В большой инфраструктуре AD, в журнале безопасности фиксируется большое количество событий, которые постепенно перезаписываются более новыми. Поэтому желательно увеличить максимальный размер журнала на DC и приступать к поиску источника блокировки как можно раньше.

Откройте данное событие. Имя компьютера (или сервера), с которого была произведена блокировка указано в поле Caller Computer Name. В данном случае имя компьютера – WKS-TEST1.

Если в поле Computer Name указано неизвестное имя компьютера/устройства, который не резолвится в вашей сети через DNS (недоменный компьютер, или не Windows устройство с поддержкой Kerberos аутентфикации), вы можете получить IP адрес этого устройства. Для этого нужно включить следующие параметры аудита в Default Domain Controller Policy. Перейдите в раздел Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Configuration и настройте следующие параметры:

• Audit Kerberos Authentication Service: Success, Failure
• Audit Kerberos Service Ticket Operations: Success, Failure

• Audit Special Logon: Success, Failure

Откройте журнал Event Viewer -> Security и включите фильтр по Event ID 4740 и 4741. Обратите внимание, что теперь перед появлением события блокировки пользователя (4740) появляется событие 4771 (неуспешная kerberos аутентфикация) от Kerberos Authentication Service. В нем указано имя пользователя, который пытался выполнить аутентификацию и IP адрес устройства (поле Network Information -> Client Address), с которого пришел запрос.

Если удаленное устройство использует NTLM для аутентификации в домене, нужно выполнить поиск события EventID 4625 (неуспешная NTLM аутентификация) на контроллерах домена (оно появится только на DC, через который была выполнена попытка аутентифицироваться через NTLM).

Откройте последнее найденное событие с EventID 4625 для вашего пользователя (Account name). Здесь видно, что при попытке выполнить NTLM аутентификацию (Authentication Package: NTLM, Logon Process: NtLmSsp) учетная запись была заблокирована ( Failure Reason: Account locked out, Status: 0xC0000234 ). В описании события указаны как имя компьютера (Workstation Name), так и его IP адрес (Source Network Address).

Если вы не можете найти событие блокировки пользователя в журнале Event Viewer, можно включить расширенный лог netlogon на контроллере домена. Выполните команду:

Перезапустите службу Netlogon

net stop netlogon && net start netlogon

Выполните поиск в файле netlogon.log событий:

• 0xc000006a – An invalid attempt to login has been made by the following user
• 0xc0000234 – The user account has been automatically locked because too many invalid logon attempts or password change attempts have been requested.

Можно найти события блокировки пользователя a.berg в файле netlogon.log с помощью команды:

type C:\Windows\debug\netlogon.log | findstr a.berg| findstr /i «0xC000006A»

В данном примере видно, что пользователь a.berg блокируется с устройства DESKTOP-74G6LB.

Не забудьте отключить расширенный лог на DC:

Поиск компьютера, с которого блокируется пользователь с помощью PowerShell

Можно воспользоваться следующим PowerShell скриптом для поиска источника блокировки конкретного пользователя на PDC. Данный скрипт вернет дату блокировки и компьютер, с которого она произошла. Скрипт выполняет поиск событий с Event ID в Event Log:

$Username = ‘username1’
$Pdce = (Get-AdDomain).PDCEmulator
$GweParams = @‘Computername’ = $Pdce
‘LogName’ = ‘Security’
‘FilterXPath’ = «*[System[EventID=4740] and EventData[Data[@Name=’TargetUserName’]=’$Username’]]»
>
$Events = Get-WinEvent @GweParams
$Events | foreach

$Username = ‘username1’
Get-ADDomainController -fi * | select -exp hostname | % $GweParams = @‘Computername’ = $_
‘LogName’ = ‘Security’
‘FilterXPath’ = «*[System[EventID=4740] and EventData[Data[@Name=’TargetUserName’]=’$Username’]]»
>
$Events = Get-WinEvent @GweParams
$Events | foreach
>

Утилита Microsoft Account Lockout and Management Tools

Для поиска источника блокировки пользователя можно использовать графическую утилиту Microsoft Account Lockout and Management Tools — Lockoutstatus.exe (скачать ее можно тут). Данная утилита проверяет статус блокировки учетной записи на всех контроллерах домена.

Запустите утилиту Lockoutstatus.exe, укажите имя заблокированной учетной записи (Target User Name) и имя домена (Target Domain Name).

В появившемся списке будет содержаться список DC и состояние учетной записи (Locked или Non Locked). Дополнительно отображается время блокировки и компьютер, с которого заблокирована данная учетная запись (Orig Lock).

Атрибуты badPwdCount и LastBadPasswordAttempt не реплицируются между контролерами домена.

Прямо из утилиты Lockoutstatus можно разблокировать пользователя, или сменить его пароль.

Основной недостаток утилиты LockoutStatus – она довольно долго опрашивает все контроллеры домена (некоторые из них могут быть недоступны).

Как определить программу, из которой блокируется учетная запись пользователя?

Итак, мы определили с какого компьютера или устройства была заблокирована учетная запись. Теперь нужно понять, какая программа или процесс выполняет неудачные попытки входа и является источником блокировки.

Часто пользователи начинают жаловаться на блокировку своей учетной записи в домене после плановой смены пароля. Чаще всего это значит, что старый (неверный) пароль сохранен в некой программе, скрипте или службе, которая периодически пытается авторизоваться в домене с устаревшим паролем. Рассмотрим самые распространенные места, в которых пользователь мог сохранить свой старый пароль:

• Сетевые диски, подключенные через net use (Map Drive);
• Задания планировщика Windows Task Scheduler;
• Ярлыки с настроенным режимом RunAs (используется для запуска от имени другого пользователя);
• В службах Windows, которые настроены на запуск из-под доменной учетной записи;
• Сохранённые пароли в менеджере паролей в панели управления (Credential Manager). Выполните команду rundll32.exe keymgr.dll, KRShowKeyMgr и удалите сохраненные пароли;

Пароли пользователей могут быть сохранены в контексте SYSTEM. Чтобы вывести их, нужно запустить командную строку от имени SYSTEM с помощью psexec -i -s -d cmd.exe и выполнить команду rundll32 keymgr.dll,KRShowKeyMgr чтобы открыть список сохраненных паролей для NT AUTHORITY\SYSTEM.

Совет. Существует ряд сторонних утилит (в основном коммерческих) позволяющих администратору выполнить проверку удаленной машины и детектировать источник блокировки учетных записей. В качестве довольно популярного решения отметим Account Lockout Examiner от Netwrix.

Для более детального аудита блокировок на найденном компьютере необходимо включить ряд локальных политик аудита Windows. Для этого на компьютере, на котором нужно отследить источник блокировки, откройте редактор локальной групповой политики gpedit.msc и включите следующие параметры в разделе Compute Configurations -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy:

• Audit process tracking: Success , Failure
• Audit logon events: Success , Failure

Дождитесь очередной блокировки учетной записи и найдите в журнале безопасности (Security) события с Event ID 4625. В нашем случае это событие выглядит так:

An account failed to log on. Failure Reason: Account locked out.

Из описания события видно, что источник блокировки учетной записи (Caller Process Name) – процесс mssdmn.exe (является компонентом Sharepoint). Осталось сообщить пользователю о том, что ему необходимо обновить свой пароль на веб-портале Sharepoint.

После окончания анализа, выявления и наказания виновника не забудьте отключить действие включенных групповых политик аудита.

Если вы так и не смогли найти причину блокировки учетной записи на конкретном компьютере, попробуйте просто переименовать имя учетной записи пользователя в Active Directory (измените SAMaccountName и UPN пользователя в домене AD). Это как правило самый действенный метод защиты от внезапных блокировок определенного пользователя, если вы не смогли установить источник блокировки.

Предыдущая статья Следующая статья

Как заблокировать Windows 10 если кто-то пытается угадать пароль

Не все знают, но Windows 10 и 8 позволяют ограничить число попыток ввода пароля, и при достижении указанного количества заблокировать последующие попытки на определенный промежуток времени. Конечно, это не защитит от читателя моего сайта (см. Как сбросить пароль Windows 10), но вполне может оказаться полезным в некоторых случаях.

Ограничение количества попыток угадать пароль в командной строке

Первый способ подойдет для любых редакций Windows 10 (в отличие от следующего, где требуется редакция не ниже Профессиональной).

1. Запустите командную строку от имени Администратора. Для этого вы можете начать вводить «Командная строка» в поиске на панели задач, затем нажать правой кнопкой мыши по найденному результату и выбрать пункт «Запустить от имени Администратора».
2. Введите команду net accounts и нажмите Enter. Вы увидите текущий статус параметров, которые мы будем изменять в следующих шагах.
3. Для установки количества попыток ввода пароля введите net accounts /lockoutthreshold:N (где N — число попыток угадать пароль до блокировки).
4. Для установки времени блокировки после достижения числа из п.3, введите команду net accounts /lockoutduration:M (где M — время в минутах, причем на значениях менее 30 команда выдает ошибку, а по умолчанию уже задано 30 минут).
5. Еще одна команда, где время T указывается также в минутах: net accounts /lockoutwindow:T устанавливает «окно» между сбросами счетчика неправильных вводов (по умолчанию — 30 минут). Допустим, вы установили блокировку после трех неудачных попыток ввода на 30 минут. При этом, если не установить «окно», то блокировка сработает даже если неправильный пароль ввести трижды с промежутком между вводами в несколько часов. Если же установить lockoutwindow, равным, скажем, 40 минут, два раза ввести неверный пароль, то по прошествии этого времени снова будет три попытки ввода.
6. По завершении настройки можно снова использовать команду net accounts, чтобы посмотреть текущее состояние сделанных настроек.

После этого можно закрыть командную строку и, при желании проверить, как это работает, попробовав ввести несколько раз неверный пароль Windows 10.

В дальнейшем, чтобы отключить блокировку Windows 10 при неудачных попытках ввода пароля, используйте команду net accounts /lockoutthreshold:0

Блокировка входа после неудачного ввода пароля в редакторе локальной групповой политики

Редактор локальной групповой политики доступен только в редакциях Windows 10 Профессиональная и Корпоративная, поэтому в Домашней выполнить нижеследующих шагов не получится.

1. Запустите редактор локальной групповой политики (нажмите клавиши Win+R и введите gpedit.msc).
2. Перейдите к разделу Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики учетных записей — Политика блокировки учетных записей.
3. В правой части редактора вы увидите три значения, перечисленные далее, дважды кликнув по каждому из них, вы сможете настроить параметры блокировки входа в учетную запись.
4. Пороговое значение блокировки — количество допустимых попыток ввода пароля.
5. Время до сброса счетчика блокировки — время, через которое все использованные попытки будут сброшены.
6. Продолжительность блокировки учетной записи — время блокировки входа в учетную запись после достижения порогового значения блокировки.

По завершении настроек, закройте редактор локальной групповой политики — изменения сразу вступят в силу и количество возможных неправильных ввода пароля будет ограничено.

На этом всё. На всякий случай учтите, что такого рода блокировка может быть использована против вас — если какой-то шутник будет специально по нескольку раз вводить неверный пароль, чтобы вы затем ожидали по полчаса возможности войти в Windows 10.

Также может заинтересовать: Как поставить пароль на Google Chrome, Как посмотреть информацию о предыдущих входах в Windows 10.

А вдруг и это будет интересно:

• Лучшие бесплатные программы для Windows
• Как узнать UEFI или Legacy Windows на компьютере
• Компьютер не видит внешний диск — как исправить?
• TakeOwnershipEx — получение полного доступа к папкам и файлам и восстановление прав по умолчанию
• Ошибка 0x8007000d в Windows 11 или 10 — как исправить?
• Chrome открывает поиск вместо сайта — решение

• Windows 11
• Windows 10
• Android
• Загрузочная флешка
• Лечение вирусов
• Восстановление данных
• Установка с флешки
• Настройка роутера
• Всё про Windows
• В контакте
• Одноклассники

хочузнать 04.12.2017 в 09:01

• Dmitry 04.12.2017 в 09:31

На сколько блокируется компьютер при неправильном вводе пароля

30 октября 2023 Регистрация Войти
4 декабря 2023

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

15 ноября 2023

Программа разработана совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Приказ Федеральной службы по интеллектуальной собственности от 14 июля 2015 г. N 97 «Об утверждении Положения по организации парольной защиты в Федеральной службе по интеллектуальной собственности»

Обзор документа

Приказ Федеральной службы по интеллектуальной собственности от 14 июля 2015 г. N 97 «Об утверждении Положения по организации парольной защиты в Федеральной службе по интеллектуальной собственности»

28 сентября 2015

В целях исполнения требований Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и в соответствии со «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации» (СТР-К), утвержденными приказом Государственной технической комиссии при Президенте Российской Федерации от 30 августа 2002 г. N 282, приказываю:

1. Утвердить прилагаемое Положение по организации парольной защиты в Федеральной службе по интеллектуальной собственности.

2. Директору ФИПС (О.И. Стрелков) в соответствии с указанным Положением обеспечить создание и включение в доменах fips и tz политики паролей в срок до 1 сентября 2015 г.

3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Роспатента М.В. Жамойдика.

Врио руководителя

Л.Л. Кирий

Положение по организации парольной защиты в Федеральной службе по интеллектуальной собственности
(утв. приказом Федеральной службы по интеллектуальной собственности от 14 июля 2015 г. N 97)

I. Общие положения

1.1. Настоящее Положение регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в локальной вычислительной сети Федеральной службы по интеллектуальной собственности, меры обеспечения безопасности при использовании паролей, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

1.2. В настоящем Положении используются следующие термины и определения:

Локальная вычислительная сеть (ЛВС) — это комплекс оборудования и программного обеспечения, обеспечивающий передачу, хранение и обработку информации;

Автоматизированное рабочее место (АРМ) — это комплекс средств вычислительной техники и программного обеспечения, располагающийся непосредственно на рабочем месте сотрудника и предназначенный для автоматизации его работы в рамках специальности;

Информационная безопасность (ИБ) — обеспечение защищенности информации (ее конфиденциальности, целостности, доступности) от широкого спектра угроз;

Несанкционированный доступ (НСД) — доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа;

Учетная запись — информация о сетевом пользователе: имя пользователя, его пароль, права доступа к ресурсам и привилегии при работе в системе. Учетная запись может содержать дополнительную информацию (адрес электронной почты, телефон и т.п.);

Принцип минимальных привилегий — принцип, согласно которому каждому субъекту системы предоставляется минимальный набор полномочий (или минимальный допуск), необходимый для выполнения вверенных задач. Применение этого принципа ограничивает ущерб, наносимый в случае случайного, ошибочного или несанкционированного использования;

Компрометация — утрата доверия к тому, что информация недоступна посторонним лицам;

Ключевой носитель — электронный носитель ( флэш-накопитель, компакт-диск и т.п.), на котором находится ключевая информация (сертификаты и т.п.).

1.3. Требования настоящего Положения являются неотъемлемой частью комплекса мер безопасности и защиты информации в Роспатенте.

1.4. Требования настоящего Положения распространяются на всех работников подразделений, использующих в работе средства вычислительной техники, и должны применяться для всех средств вычислительной техники, эксплуатируемой в Роспатенте.

1.5. Организационное обеспечение процессов генерации, использования, смены и прекращения действия паролей и контроль за действиями исполнителей и обслуживающего персонала ЛВС при работе с паролями возлагается на Отдел организационной и специальной деятельности Роспатента (далее — отдел организационной и специальной деятельности). Техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей возлагается на администратора локальной вычислительной сети (далее — администратора ЛВС) ФГБУ ФИПС.

1.6. Ознакомление всех работников Роспатента, использующих средства вычислительной техники, с требованиями настоящего Положения проводит Отдел организационной и специальной деятельности. При ознакомлении с настоящим Положением внимание работников акцентируется на предупреждении их о персональной ответственности за разглашение парольной информации.

II. Общие требования к паролям

2.1. Пароли доступа к автоматизированным рабочим местам (далее — АРМ) первоначально формируются администратором ЛВС, а в дальнейшем выбираются пользователями самостоятельно, но с учетом требований, изложенных ниже.

2.2. Личные пароли пользователей АРМ Роспатента должны выбираться с учетом следующих требований:

— длина пароля должна быть не менее 8 символов;

— в числе символов пароля обязательно должны присутствовать прописные буквы английского алфавита от А до Z, строчные буквы английского алфавита от а до z, десятичные цифры (от 0 до 10), неалфавитные символы (@, #, $, &, *, % и т.п.). Исключение составляют АРМ Роспатента, в которых использование подобных спецсимволов недопустимо;

— пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования рабочих станций и т.д.), а также общепринятые сокращения и термины (qwerty, pa$$w0rd и т.п.);

— при смене пароля новый пароль должен отличаться от старого не менее, чем двумя символами.

III. Безопасность локальных учетных записей

3.1. Локальные учетные записи компьютеров (Administrator, Guest) предназначены для служебного использования администратором ЛВС при настройке систем и не предназначены для повседневной работы.

IV. Безопасность доменных учетных записей

4.1. Пользователь несет персональную ответственность за сохранение в тайне личного пароля. Запрещается сообщать пароль другим лицам, а также хранить записанный пароль в общедоступных местах.

4.2. В случае производственной необходимости (командировка, отпуск и т.п.), при проведении работ, требующих знания пароля пользователя, допускается раскрытие значений своего пароля начальникам подразделений. По окончании производственных или проверочных работ работники самостоятельно производят немедленную смену значений «раскрытых» паролей.

4.3. В случае возникновении нештатных ситуаций, форс-мажорных обстоятельств, а также технологической необходимости использования имен и паролей работников (в их отсутствие) допускается изменение паролей администратором ЛВС. В подобных случаях, сотрудники, чьи пароли были изменены, обязаны сразу же после выяснения факта смены своих паролей, создать их новые значения.

4.4. Пароли учетных записей пользователей АРМ должны соответствовать требованиям пункта 2.2 настоящего Положения.

4.5. Полная плановая смена паролей пользователей должна проводиться в срок, не позднее 42 дней после установления предыдущего пароля. Плановая смена должна предусматривать информирование пользователя о необходимости сменить пароль и возможность смены пароля без обращения к администратору ЛВС.

4.6. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение и т.п.) должна производиться администратором ЛВС немедленно после окончания последнего сеанса работы данного пользователя с системой.

4.7. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на работу в другое подразделение внутри Роспатента и другие обстоятельства) администратора ЛВС и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой.

4.8. В случае длительного отсутствия пользователя АРМ (командировка, болезнь и т.п.) его учетная запись блокируется, и, в случае необходимости, изменяются права доступа других пользователей в отношении ресурсов данного пользователя.

4.9. В случае компрометации личного пароля пользователя АРМ либо подозрении на компрометацию должны быть немедленно предприняты меры по внеплановой смене личного пароля самим пользователем с немедленным информированием Отдела организационной и специальной деятельности.

4.10. Смена забытого пользовательского пароля производится администратором ЛВС на основании сообщения пользователя с обязательной установкой параметра «Требовать смену пароля при следующем входе в систему».

4.11. Для предотвращения угадывания паролей администратор ЛВС обязан настроить механизм блокировки учетной записи на 20 минут при пятикратном неправильном вводе пароля.

4.12. При возникновении вопросов, связанных с использованием доменных учетных записей, пользователь АРМ обязан обратиться к администратору ЛВС.

V. Временные учетные записи

5.1. Для предоставления временного доступа (для лиц, не являющихся сотрудниками Роспатента, для сотрудников, которым необходимо получить временный доступ) необходимо использовать процедуру временных учетных записей.

5.2. Временная учетная запись — учетная запись, имеющая ограничение по времени действия, имеющая ограниченные права по доступу. Для временных учетных записей проводится подробное протоколирование их использования. Процедура получения временных учетных записей состоит в следующем:

— сотрудник Роспатента через руководителя своего подразделения либо лицо, не являющееся сотрудником Роспатента, через доверенное лицо оформляет соответствующим образом заявку, указав в ней, что требуемая учетная запись временная, определив временные рамки ее использования;

— заявка направляется в Отдел организационной и специальной деятельности для рассмотрения;

— временная учетная запись создается администратором ЛВС;

— пользователь, получивший временную учетную запись, информируется об ограничениях, связанных с ее использованием.

VI. Контроль

6.1. Повседневный контроль за соблюдением требований настоящего Положения заключается в контроле процессов использования и изменения учетных записей, процессов доступа к ресурсам, процессов изменения учетных записей Отделом организационной и специальной деятельности.

6.2. Отдел организационной и специальной деятельности проводит ежеквартальный выборочный контроль выполнения работниками Роспатента требований настоящего Положения. О фактах несоответствия качества паролей или условий обеспечения их сохранности Отдел организационной и специальной деятельности сообщает заместителю руководителя Роспатента в форме служебной записки.

6.3. Контроль за выполнением требований настоящего Положения возлагается на Отдел организационной и специальной деятельности.

VII. Ответственность

7.1. Пользователи АРМ Роспатента несут персональную ответственность за несоблюдение требований по парольной защите.

7.2. Администратор ЛВС, сотрудники Отдела организационной и специальной деятельности несут ответственность за компрометацию и нецелевое использование учетных записей.

7.3. Форма и степень ответственности определяются исходя из вида и размера ущерба, действиями либо бездействием соответствующего пользователя.

Обзор документа

Регламентированы процессы генерации, смены и прекращения действия паролей в локальной вычислительной сети Роспатента.

Приведены требования к паролям. Определены меры обеспечения безопасности при их использовании. В частности, пользователь несет персональную ответственность за сохранение в тайне личного пароля. Запрещено сообщать пароль другим лицам, а также хранить записанный пароль в общедоступных местах.

Прописан порядок осуществления контроля за действиями пользователей и обслуживающего персонала сети при работе с паролями.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:

Учётная запись пользователя заблокирована и не может быть использована для входа в сеть

Друзья, привет. Сегодняшняя статья пригодится в первую очередь корпоративным пользователям компьютеров на базе Windows, работающим со стандартными локальными учётными записями. Тогда как вход в учётные записи со статусом администратора могут выполнять только доверенные лица компании в виде сотрудников IT-раздела. Хотя при определённом семейном микроклимате с описываемой ниже проблемой можно столкнуться, используя домашние устройства. Что же за проблема такая? А это невозможность доступа к Windows с уведомлением на экране блокировки «Учётная запись пользователя заблокирована и не может быть использована для входа в сеть». Что за блокировка такая, и как с ней бороться?

↑ Учётная запись пользователя заблокирована и не может быть использована для входа в сеть

Итак, не можем войти в Windows, потому что на экране блокировки видим это.

Такая блокировка является результатом определённого количества неудачных попыток авторизации в локальной учётке, если администратором компьютера внесены соответствующие настройки локальной групповой политики.

↑ Блокировка учётных записей Windows

Администратор компьютера в локальных групповых политиках может установить то или иное число попыток входа в учётные записи пользователей. При превышении этого числа попыток учётка блокируется для входа. Это такая защита от подбора паролей. Даже если дело имеем не с ситуацией попытки подбора пароля к чужой учётке, а просто её истинный владелец невнимательно вводил символы или не посмотрел на раскладку клавиатуры, войти в систему не удастся даже при вводе верного пароля. Придётся выждать установленное администратором время, пока не будет сброшен счётчик попыток входа. И, естественно, пока не истечёт время самой блокировки.

Устанавливается такая защита от подбора паролей в редакторе локальной групповой политики, в политике блокировки учётных записей.

Здесь вводится пороговое значение блокировки, т.е. допустимое число попыток ввода пароля.

При установке такого порогового значения другие параметры политики – время до сброса счётчика блокировки и длительность самой блокировки – автоматически будут установлены на 30 минут.

Их при необходимости можно сменить. И, к примеру, установить меньшее время для сброса счётчика неудачных попыток ввода пароля.

А время блокировки самой учётной записи, наоборот, увеличить.

Распространяется такая защита только на локальные учётки и не работает при попытках подбора пароля или пин-кода для подключённых аккаунтов Microsoft.

Разблокировать заблокированную учётную запись можно несколькими путями:

• Дождаться завершения времени блокировки. Но здесь есть нюанс: сколько времени нужно ждать, система не уведомляет. Об этом знает только администратор компьютера;

• Войти в систему с учётки администратора и снять блокировку;

• Если доступ к учётке администратора невозможен, снять блокировку, загрузившись со съёмного устройства и подправив кое-что в реестре Windows.

↑ Как разблокировать свою учётную запись Windows, если есть доступ к администратору

Если своя учётка заблокирована, но есть доступ к учётке администратора, необходимо войти в последнюю и разблокировать свою таким образом. Жмём клавиши Win+R, вводим:

lusrmgr.msc

В открывшемся окне в папке «Пользователи» ищем свою учётную запись и делаем на ней двойной клик.

В окошке открывшихся свойств снимаем галочку «Заблокировать учётную запись». Применяем.

Пробуем войти в свою учётку.

• Примечание: если у вас нет пароля к учётке администратора, не стоит пытаться войти с помощью подбора. Защита от подбора паролей действует на все локальные учётные записи, в том числе и на администратора. Его учётка после определённого количества неудачных попыток авторизации также будет заблокирована.

↑ Как разблокировать свою учётную запись Windows, если нет доступа к администратору

Если доступа к учётной записи администратора нет, добываем DVD-диск или флешку с процессом установки любой версии Windows или Live-диск с возможностью правки реестра операционной системы. Загружаем компьютер со съёмного устройства, в нашем случае это флешка установки Windows 10. Важно: запуск со съёмного устройства должен проводиться только при перезагрузке систем Windows 8.1 и 10. Нельзя использовать обычное завершение работы, поскольку в этих версиях из-за функции ускоренного запуска системное ядро загружается из ранее сохранённого на диске файла. Нам же нужно, чтобы ядро загрузилось с изменёнными параметрами реестра.

На первом этапе установки Windows жмём Shift+F10. Запускаем реестр командной строкой:

Кликаем раздел HKEY_LOCAL_MACHINE. Далее жмём меню «Файл», здесь нам нужен пункт «Загрузить куст».

В окне обзора выходим в корень устройств «Этот компьютер» и заходим в раздел Windows. У нас он обозначен как диск (C:\), но диск системы также может значиться и под другой буквой. Тут нужно ориентироваться по объёму раздела. На системном разделе раскрываем папки «Windows», далее – «System32», далее – «config». Внутри последней нам нужен файл SAM, это так называемый куст реестра, открываем его.

Открытый куст нужно как-то назвать, имя непринципиально. Назовём его 777.

Внутри раздела реестра HKEY_LOCAL_MACHINE теперь наблюдаем новую ветвь 777. Раскрываем внутри неё путь:

777 – SAM – Domains – Account – Users – Names

Находим имя своей учётки в папке «Names». Нам, например, нужен пользователь Вася. Смотрим, что при выборе Васи отображается на панели реестра справа. У нас значение 0x3f8. Такое же значение, но только в ином формате написания — с лишними нулями спереди и капсом – ищем теперь выше, внутри папки «Users».

Ставим курсор теперь на это значение с нулями и капсом. В правой панели реестра ищем параметр «F» и двойным кликом раскрываем его.

В окошке параметра нам нужна строка 0038. Её первые два значения (у нас это 10 и 00) заменяем.

Двойным кликом ЛКМ щёлкаем по очереди на каждом из двух значений, и когда те выделятся синим, вписываем другие значения. А эти другие значения должны быть 10 и 02 соответственно. В итоге жмём «Ок».

Теперь в окне реестра кликаем на загруженный и отредактированный куст, у нас это 777. И выгружаем его: жмём «Файл», далее- «Выгрузить куст».

Перезагружаемся. И можем снова пытаться войти в свою учётку. Друзья, если блокировка вашей учётки – это следствие превышения допустимого числа авторизаций из-за того, что вы забыли пароль (или его, возможно, сменил кто-то без вашего ведома), вы можете просто убрать пароль. Сделать это можно, в частности, тем же способом путём правки реестра со съёмного носителя, что описан выше, только там нужны чуть другие действия. Какие – читаем здесь.