indows Server 2019 域用戶賬戶鎖定策略,默認(rèn)是沒有定義的。需要用到賬戶鎖定啟用這個策略即可。至于為什么啟用這個策略可以根據(jù)你自己的環(huán)境來決定。我啟用這個策略主要是為了防止內(nèi)網(wǎng)密碼嗅探。我設(shè)置的閾值是密碼錯誤3此就會鎖定賬戶30分鐘。如果一個用戶多次被鎖定就需要分析這個用戶的行為了。另外我在創(chuàng)建用戶是已經(jīng)禁止了交互登錄,也就是說一臺電腦一個賬戶并且賬戶和電腦綁定在一起,無法在其他電腦上登錄。
0x01 組策略管理
打開服務(wù)器管理器 → 工具 → 組策略管理;
0x02 編輯策略
組策略管理 → 林 → 域 → 域名 → 組策略對象 → Default Domain Policy(默認(rèn)策略) → 右鍵編輯;
打開 Default Domain Policy 策略 → 計算機(jī)配置 → 策略 → Windows 設(shè)置 → 安全設(shè)置 → 賬戶策略 → 賬戶鎖定策略;賬戶鎖定時間默認(rèn)是沒有定義的,要求啟用修改這個賬戶鎖定時間、賬戶鎖定閾值、重置賬戶鎖定計數(shù)器的參數(shù)即可;
下圖是我修改的參數(shù)賬戶鎖定時間為30分鐘(賬戶鎖定時間)、賬戶鎖定閾值3次(密碼錯誤3次將會被鎖定)、重置賬戶鎖定計數(shù)器30分鐘(30分鐘后重置計數(shù)器);通俗來講就是密碼錯誤3次,賬戶鎖定30分鐘,30分鐘后解鎖賬戶;
默認(rèn)情況下,Windows 10 / 8.1和Windows Server 2016/2012 R2中的登錄屏幕顯示最后一次登錄到計算機(jī)的用戶的帳戶(如果未設(shè)置用戶密碼,則即使該用戶也將自動登錄自動登錄未啟用)。但是,可以在Windows 10的歡迎屏幕上顯示所有用戶帳戶。您可以配置此功能的不同行為:您可以顯示最后一個登錄用戶名,將其隱藏,甚至列出所有本地或登錄于用戶。
在Windows登錄屏幕上顯示賬戶名稱對用戶來說很方便,但是會降低計算機(jī)的安全性。擁有本地計算機(jī)訪問權(quán)限的攻擊者只需要選擇一個密碼(為此,可以使用多種方式進(jìn)行社交工程,暴力攻擊或在監(jiān)視器上帶有密碼的平庸標(biāo)簽)。
您可以通過GPEDIT在Windows歡迎屏幕上隱藏上次登錄的用戶名。打開域(gpmc.msc)或本地(gpedit.msc)組策略編輯器,然后轉(zhuǎn)到“ 計算機(jī)配置-> Windows設(shè)置->安全設(shè)置->本地策略->安全選項”部分。啟用策略“ 交互式登錄:不顯示最后一個用戶名 ”。默認(rèn)情況下,此策略是禁用的。
另外,您可以通過注冊表在登錄屏幕上隱藏用戶名。為此,請轉(zhuǎn)到注冊表項HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System,創(chuàng)建一個名為dontdisplaylastusername的新DWORD參數(shù),其值為1。
此外,您可以在鎖定的計算機(jī)上隱藏用戶名。為此,在同一GPEDIT部分中,您需要啟用策略“ 交互式登錄:會話鎖定時顯示用戶信息 ”,并選擇值“ 不顯示用戶信息 ”。
同一注冊表項中的名為DontDisplayLockedUserId的注冊表參數(shù)的值為3對應(yīng)于此策略設(shè)置。
現(xiàn)在,在計算機(jī)登錄屏幕和Windows鎖定屏幕上,將顯示用于輸入用戶名和密碼的空白字段。
在Windows 10 / 8.1中,您可以在歡迎屏幕上列出所有本地用戶帳戶。要登錄到計算機(jī),用戶只需點擊所需的帳戶并指定其密碼即可。
若要在Windows登錄屏幕上顯示所有本地用戶,需要在以下注冊表項中將Enabled參數(shù)的值更改為1:HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Authentication \ LogonUI \ UserSwitch。您可以通過RegEdit GUI,Reg Add cli命令或Set-ItemProperty PowerShell cmdlet 更改此參數(shù):
Reg Add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch /v Enabled /t REG_DWORD /d 1 /f
要么
Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch' -Name Enabled -Value 1
但是,Windows會在每次用戶登錄時自動將Enabled參數(shù)的值重置為0。為了始終將注冊表值更改為1,在“任務(wù)計劃程序”中創(chuàng)建一個在用戶登錄時運(yùn)行的新任務(wù)會更容易。
Scheduler任務(wù)必須運(yùn)行上面顯示的命令之一。您可以使用taskchd.msc圖形控制臺手動創(chuàng)建此任務(wù)。但是在我看來,使用PowerShell創(chuàng)建Scheduler任務(wù)要容易得多。在我們的情況下,用于創(chuàng)建新任務(wù)的命令如下所示:
$Trigger=New-ScheduledTaskTrigger -AtLogOn
$User="NT AUTHORITY\SYSTEM"
$Action=New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch -Name Enabled -Value 1"
Register-ScheduledTask -TaskName "UserSwitch_Enable" -Trigger $Trigger -User $User -Action $Action -RunLevel Highest –Force
確保該任務(wù)出現(xiàn)在Windows Task Scheduler(taskschd.msc)中。
注銷,然后再次登錄。該任務(wù)必須自動啟動,并將“已啟用”注冊表參數(shù)的值更改為1。檢查該參數(shù)的當(dāng)前值。如您所見,它是1:
get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\UserSwitch' -Name Enabled
下次重新啟動后,所有本地用戶賬戶將顯示在Windows 10 / 8.1登錄屏幕上,而不是最后一個。
提示。如果成功觸發(fā)了任務(wù),但未顯示本地用戶列表,請確保是否禁用了策略“ 交互式登錄:不顯示上一個用戶名”(請參閱“ 計算機(jī)配置\ Windows設(shè)置\安全設(shè)置\本地策略\安全選項”)。
有一個單獨的組策略設(shè)置,它使在加入域的計算機(jī)的“歡迎使用”屏幕上列出本地用戶帳戶變得更加容易。打開GPEDIT編輯器,轉(zhuǎn)到“計算機(jī)配置->管理模板->系統(tǒng)->登錄”部分,并啟用策略“ 枚舉加入域的計算機(jī)上的本地用戶 ”。
如果多個域用戶使用一臺計算機(jī),則在歡迎屏幕上可以顯示具有本地活動/斷開會話的用戶列表(僅當(dāng)用戶登錄時才會顯示用戶,例如,在使用公用計算機(jī),信息亭,RDS時)服務(wù)器或其Windows 10類似產(chǎn)品)。
為此,請在計算機(jī)配置-> Windows設(shè)置->安全設(shè)置->本地策略->安全選項中檢查是否禁用了以下策略:
然后在“計算機(jī)配置”->“管理模板”->“系統(tǒng)”->“登錄”部分中禁用策略:
此后,歡迎屏幕將顯示具有已登錄但已斷開連接的活動會話的帳戶列表。用戶登錄一次就足夠了,然后只需從列表中選擇一個賬戶并輸入密碼即可。
Windows歡迎屏幕顯示以下本地組之一的用戶:管理員,用戶,超級用戶,來賓。
您可以通過運(yùn)行以下命令從Windows 10登錄屏幕上的列表中隱藏任何用戶:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /f /d 0 /v UserName