Criterio di Blocco Account – Group Policy in Windows

Le impostazioni che troviamo in Criterio di Blocco Account permettono di impostare il modo in cui gli account devono essere bloccati, si tratta quindi di impostazioni importanti per la sicurezza.

Configurazione Computer\Impostazioni di Windows\Criteri account\Criterio di blocco account
(Computer Configuration\
Windows Settings\Security Settings\Account Policies\Account Lockout Policy)

Blocca account per (Account Lockout Duration)
Questa impostazione specifica l’intervallo di tempo che deve trascrorrere prima che un account venga sbloccato e un utente possa fare un nuovo tentativo di accesso.
Il valore deve essere compreso tra 0 e 99999 minuti. Se il valore è 0 l’account rimane bloccato fino a quando non viene sbloccato da un amministratore.
Se viene definita l’impostazione Limite di blocchi dell’account, questo valore deve essere uguale o maggiore al valore di Reimposta blocco account dopo.
Impostando il valore a 0 il numero di richieste al servizio di assistenza aumenta per cui è consigliabile impostare un valore che permette di ridurre i rischi per la sicurezza causati dagli attacchi che vengono fatti per individuare una password senza richiedere lo sblocco manuale degli account.
Legacy Client        30 minuti
Enterprise Client    30 minuti
High Security        15 minuti

Limite di blocchi dell’account (Account Lockout Threshold)
Questa impostazione specifica il numero di tentativi di accesso con una password sbagliata che possono essere fatti prima che l’account venga bloccato.
Il valore deve essere compreso tra 0 e 999. Se il valore è 0 l’account non viene bloccato.
Legacy Client        50 tentativi di accesso non validi
Enterprise Client    50 tentativi di accesso non validi
High Security        10 tentativi di accesso non validi
Impostazione predefinita 0

Reimposta blocco account dopo (Reset account lockout counter after)
Questa impostazione specifica l’intervallo di tempo che deve trascorrere prima che l’impostazione Limite di blocchi dell’account venga impostato a 0 e l’account venga sbloccato.
Il valore deve essere compreso tra 1 e 99999 minuti e deve essere inferiore al valore specificato in Blocca account per.
Il valore non deve essere troppo elevato per evitare i rischi causati dai tentativi di individuare la password di un utente.
Legacy Client        30 minuti
Enterprise Client    30 minuti
High Security        15 minuti

Le impostazioni che troviamo in Criterio di Blocco Account permettono quindi di stabilire in modo preciso il modo in cui deve avvenire il blocco degli account a causa di tentativi di accesso sbagliati.