Il Blocco degli Account in Windows – Account Lockout

Account lockout è una funzionalità di Windows che impedisce agli utendi di utilizzare l’account dopo che è stata sbagliata la password per un certo numero di volte stabilito tramite la security policy.
Quando l’account è bloccato solo un utente amministratore può sbloccarlo.

Il blocco dell’account funziona nel modo seguente
-L’utente tenta di loggarsi sul dominio utilizzando una password sbagliata.
-Il domain controller rileva che la password è sbagliata e per verificare che il problema non sia dovuto a ritardi nella replica verifica la password con il PDC emulator.
-Il PDC emulator rileva che la password è effettivamente sbagliata e incrementa l’attributo BadPwdCount dell’oggetto account dell’utente di uno.
-Il PDC emulator informa il domain controller che ha autenticato l’utente che la password è effetivamente sbagliata.
-L’utente viene informato che la password è sbagliata.

Se l’attributo BadPwdCount supera il valore definito nell’impostazione Limite di blocchi all’account nella security policy l’account viene bloccato.
Quando l’utente inserisce la password corretta l’attributo BadPwdCount viene resettato.

Le policy relative ai lockout si trovano in Configurazione computerImpostazioni di WindowsImpostazioni protezioneCriterio di blocco account
Blocca account per – Specifica il tempo per cui l’account rimane bloccato. Se viene impostato 0 l’account deve essere sbloccato dall’amministratore. Il valore raccomandato è 30.
Limite di blocchi dell’account – Specifica dopo quante password sbagliate l’account viene bloccato. Se viene impostato 0 l’account non si blocca. Il valore raccomandato è 10.
Reimposta blocco account dopo –  Specifica il tempo dopo cui è resettato il contatore delle password sbagliate.

La funzionalità account lockout è quindi molto utile per aumentare la sicurezza di un computer.