机码的应用问题

请教是否有机码可以设定锁定次数的部分? 谢谢Computer Configuration\\Windows Settings\\Security Settings\\Account Policies\\Account Lockout Policy

1 个回答

1

zivzhong

iT邦研究生 4 级 ‧ 2025-01-25 03:55:27

最佳解答

参考 Chatgpt 回答:
您好！

根据您提供的情况，您希望通过 机码（Registry） 来设定 Windows 的 帐户锁定策略，以限制用户的错误登入次数。这些策略包括锁定阈值（Lockout Threshold）、锁定持续时间（Lockout Duration）以及观察窗口（Lockout Observation Window）。以下将详细介绍如何通过机码来配置这些设定。

一、帐户锁定策略的机码位置

Windows 的帐户锁定策略可以通过修改以下机码来设定：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Netlogon\\Parameters

在此位置，您需要设置以下三个 DWORD 值：

1. LockoutThreshold（锁定阈值）：定义在锁定帐户之前允许的错误登入次数。
2. LockoutDuration（锁定持续时间）：定义帐户被锁定后，锁定持续的时间（以分钟为单位）。设定为 0 表示帐户将被永久锁定，直到管理员手动解锁。
3. LockoutObservationWindow（观察窗口）：定义在此时间窗口内的错误登入次数将被计算以触发锁定（以分钟为单位）。

二、具体步骤

步骤 1：打开注册表编辑器

1. 按下 Win + R 键，输入 regedit，然后按下 Enter 键。
2. 如果出现用户帐户控制（UAC）提示，点击 「是」 以允许进行更改。

步骤 2：导航到目标机码位置

在注册表编辑器中，依次展开以下路径：

HKEY_LOCAL_MACHINE
 └── SYSTEM
     └── CurrentControlSet
         └── Services
             └── Netlogon
                 └── Parameters

步骤 3：新增或修改锁定策略值

在 Parameters 键下，检查是否已存在以下值：

• LockoutThreshold
• LockoutDuration
• LockoutObservationWindow

若不存在，请按以下步骤新增：

1. 新增 LockoutThreshold

   • 右键点击右侧窗格，选择 「新增」 > 「DWORD (32-bit) Value」。
   • 命名为 LockoutThreshold。
   • 双击新建的 LockoutThreshold，选择 「十进制」，并输入您希望设定的错误登入次数（例如，5 次）。

2. 新增 LockoutDuration

   • 重複上述步骤，命名为 LockoutDuration。
   • 双击 LockoutDuration，选择 「十进制」，并输入锁定持续时间（例如，15 分钟）。若希望帐户被永久锁定，则输入 0。

3. 新增 LockoutObservationWindow

   • 再次重複上述步骤，命名为 LockoutObservationWindow。
   • 双击 LockoutObservationWindow，选择 「十进制」，并输入观察窗口的时间（例如，15 分钟）。

步骤 4：示範设定

假设您希望设定以下策略：

• 锁定阈值：5 次错误登入
• 锁定持续时间：15 分钟
• 观察窗口：15 分钟

您需要设置：

• LockoutThreshold = 5
• LockoutDuration = 15
• LockoutObservationWindow = 15

步骤 5：应用更改

1. 重启 Netlogon 服务

   • 按下 Win + R 键，输入 services.msc，然后按下 Enter 键。
   • 在服务列表中找到 「Netlogon」，右键点击它，选择 「重新启动」。

   或者，您也可以重启整台电脑来应用更改。

三、範例 .reg 档案

为了简化操作，您可以使用以下内容创建一个 .reg 档案，双击运行以自动添加或修改相关机码：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Netlogon\\Parameters]
"LockoutThreshold"=dword:00000005
"LockoutDuration"=dword:0000000f
"LockoutObservationWindow"=dword:0000000f

说明：

• LockoutThreshold 设定为 5。
• LockoutDuration 和 LockoutObservationWindow 都设定为 15 分钟（0x0f 为 15 的十六进制表示）。

步骤：

1. 打开记事本，将上述内容複製并贴上。
2. 将档案另存为 AccountLockoutPolicy.reg。
3. 双击该 .reg 档案，并在提示时选择 「是」 以允许将资料添加到注册表。
4. 重启 Netlogon 服务或重启电脑以应用更改。

四、注意事项

1. 备份注册表：

   • 在进行任何注册表更改之前，建议先备份现有的注册表，以防止不必要的错误。
   • 在注册表编辑器中，点击 「档案」 > 「汇出」，选择一个安全的位置保存备份。

2. 权限：

   • 确保您具有管理员权限，否则无法修改系统级的注册表设定。

3. 组策略覆盖：

   • 如果您的电脑是加入到域（Domain）环境中，且使用了组策略（Group Policy）来管理帐户锁定策略，则本地的注册表设定可能会被组策略覆盖。此时，应该在域控制器上修改相应的组策略。

4. 安全性考量：

   • 设定过于宽鬆的帐户锁定策略可能会降低系统的安全性，而过于严格的策略可能会影响用户体验。请根据组织的安全需求进行适当设定。

五、其他方法

使用本地安全策略（Local Security Policy）

如果您不希望直接编辑注册表，您可以通过 本地安全策略 来设定帐户锁定策略：

1. 按下 Win + R 键，输入 secpol.msc，然后按下 Enter 键。

2. 在左侧窗格中，导航到：

   本地安全策略 > 帐户原则 > 帐户锁定原则
   

3. 在右侧窗格中，双击以下策略并进行设定：

   • 锁定阈值：设定失败登入次数后锁定帐户。
   • 锁定持续时间：设定帐户被锁定后的持续时间。
   • 观察窗口：设定计算失败登入次数的时间窗口。

4. 设定完成后，点击 「确定」 并关闭本地安全策略编辑器。

使用 PowerShell

您也可以使用 PowerShell 来设定帐户锁定策略：

# 设定锁定阈值为5次
Set-LocalAccountPolicy -LockoutThreshold 5

# 设定锁定持续时间为15分钟
Set-LocalAccountPolicy -LockoutDuration 15

# 设定观察窗口为15分钟
Set-LocalAccountPolicy -LockoutObservationWindow 15

注意：上述命令需要在支援的 PowerShell 版本中运行，且可能需要相应的模组。

六、总结

通过修改以下机码，您可以配置 Windows 的帐户锁定策略：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Netlogon\\Parameters

设定相关的 DWORD 值：

• LockoutThreshold：错误登入次数阈值。
• LockoutDuration：锁定持续时间（分钟）。
• LockoutObservationWindow：观察窗口（分钟）。

请确保在进行这些更改后，重启 Netlogon 服务或整台电脑以应用设定。此外，建议优先使用 本地安全策略 或 组策略 来管理这些设定，以确保一致性和安全性。

如果您在设置过程中遇到任何问题，或需要进一步的协助，请随时告知！

祝您顺利解决问题！

• 
  1

ektrontek

iT邦研究生 1 级 ‧
2025-03-07 07:17:44

谢谢

谢谢

修改