Блокировка на виндовс сервере

Обновлено: 08.01.2025

По очевидным причинам безопасности ваш Windows Server по умолчанию и через некоторое время бездействия выключит экран и заблокирует компьютер . И хотя при работе в многолюдной среде существует угроза безопасности, некоторые пользователи не хотят блокировать экран на Windows Server. Если вы хотите отключить экран блокировки на Windows Server, выполните следующие действия.

Как остановить блокировку сервера во время простоя?

1. Отключите функцию «Отключить дисплей» в параметрах питания

2. Используйте групповую политику

1. Кроме того, вы можете открыть редактор групповой политики и отключить экран блокировки там. Для этого выполните поиск групповой политики в панели поиска Windows. Откройте GPE там.
2. Оказавшись там, перейдите к Конфигурация компьютера> Политики> Административные шаблоны> Система> Управление питанием> Настройки видео и дисплея . Кроме того, в более новых версиях следует перейти к Конфигурация компьютера> Административные шаблоны> Система> Управление питанием> Настройки видео и дисплея .
3. Оказавшись там, дважды нажмите на кнопку « Отключить дисплей (подключен)» .
4. Убедитесь, что опция отключена.
5. Подтвердите изменения и перезагрузите Windows Server.

После этого экран блокировки на Windows Server отключается. Если вы, конечно, хотите сделать все наоборот и включить его, выполните шаги назад и либо измените таймаут отключения экрана, либо включите параметр в редакторе групповой политики.

С учетом сказанного, мы можем обернуть это. Если у вас есть какие-либо вопросы или предложения, не стесняйтесь сообщить нам в разделе комментариев ниже. Мы с нетерпением ждем ваших отзывов.

10.09.2020

Active Directory, Windows 10, Windows Server 2016, Групповые политики

комментариев 9

Создадим и настроим доменную политику управления параметрами блокировки экрана:

• Включите все политики и задайте необходимое время неактивности компьютера в политики Screen saver timeout. Я указал 300 . Это значит, что сессии пользователей будет автоматически блокироваться через 5 минут;
• Дождитесь обновления настроек групповых политики на клиентах или обновите их вручную командой ( gpupdate /force ). После применение GPO в интерфейсе Windows настройки экранной заставки и блокировки экрана станут недоступными для изменения, а сессия пользователя автоматически блокироваться после 5 минут неактивности (для диагностики применения gpo можно использовать утилиту gpresult и статью по ссылке).

Начиная с Windows Server 2012/Windows 8 есть отдельная политика безопасности компьютера, в которой задается период неактивности компьютера, после которого его нужно блокировать. Политика называется setting Interactive logon: Machine inactivity limit и находится в разделе GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options.

В некоторых случаях вам может понадобится настроить различные политики блокировки для разных групп пользователей. Например, для офисных работников нужно блокировать экран через 10 минут, а на компьютерах операторов производства экран не должен блокироваться никогда. Для реализации такой стратегии вы можете использовать GPO Security Filtering (см. пример с групповыми политиками ограничением доступа к USB устройствам) или возможности Item Level Targeting в GPP. Рассмотрим второй вариант подробнее.

Вы можете настроить параметры блокировки компьютеров не с помощью отдельных параметров GPO, а через реестр. Вместо рассмотренной выше политики вы можете через GPO распространить на компьютеры пользователей параметры реестра. Рассмотренным выше политикам соответствуют следующие параметры реестра в ветке HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Control Panel\Desktop:

• Password protect the screen save – параметр типа REG_SZ с именем ScreenSaverIsSecure = 1;
• Screen saver timeout – параметр типа REG_SZ с именем ScreenSaveTimeout = 300;
• Force specific screen saver – параметр типа REG_SZ с именем ScreenSaveActive = 1 и SCRNSAVE.EXE = scrnsave.scr.

Создайте в домене группу пользователей ( SPB-not-lock-desktop ), для которых нужно отменить действие политики блокировки и наполните ее пользователями. Создайте в секции GPO (User Configuration -> Preferences -> Windows Settings -> Registry рассмотренные выше параметры реестра). Для каждого параметра и с помощью Item Level Targeting укажите, что политика не должна применяться для определенной группы безопасности (the user is not a member of the security group SPB-not-lock-desktop).

Компании, которые развертывают Windows Server для управления компьютерами и другими политиками, имеют решающее значение. Приятная часть управления серверами заключается в том, что вам не нужно физически находиться рядом с ними. Вы всегда можете удаленно авторизоваться на сервере из любого места. Это означает, что кто-то другой также может попытаться войти в систему. В этом посте мы расскажем, как можно настроить Блокировка учетной записи клиента удаленного доступа в Windows Server используя метод реестра.

Настройка блокировки учетной записи клиента удаленного доступа

Если вам интересно, почему существует настройка блокировки, то она должна держать злоумышленников в страхе. После того, как вы спроектируете, он не только обеспечит удержание злоумышленников, которые делают предположения, но также и тех, кто выполняет атаку по словарю. Это может случиться с действующим пользователем, который не помнит точный пароль. Блокировка гарантирует, что пользователь не сможет попытаться атаковать в течение некоторого периода времени, улучшая безопасность комбинезона.

Однако это также означает, что он может заблокировать законных пользователей, что может раздражать. В этом посте мы также покажем, как вручную разблокировать клиент удаленного доступа.

В зависимости от того, что вы используете для аутентификации, соответствующим образом настройте параметры реестра. Если вы используете проверку подлинности Microsoft Windows, настройте реестр на сервере удаленного доступа. Но если вы используете RADIUS для RAS, настройте его на Internet Authentication Server или IAS.

Вот список того, что мы настроим:

• Количество неудачных попыток до блокировки
• Время, по истечении которого счетчик блокировок сбрасывается

Обязательно сделайте резервную копию реестра, прежде чем вносить какие-либо изменения.

Включение блокировки учетной записи клиента удаленного доступа

Откройте редактор реестра, набрав Regedit в строке «Выполнить» и нажав клавишу Enter. Найдите и щелкните следующий раздел реестра:

Найдите и дважды щелкните значок MaxDenials ценить. Установите значение выше нуля, что также будет означать, что это количество неудачных попыток. Таким образом, если вы установите значение два, третья попытка приведет к блокировке. Нажмите ОК для подтверждения

Затем дважды щелкните значок ResetTime (мин) значение в шестнадцатеричном формате. Значение по умолчанию установлено на два дня, поэтому убедитесь, что вы установили его в соответствии с политикой вашей компании.

Редактирование реестра для ручной разблокировки клиента удаленного доступа

Предполагая, что у вас заблокированная учетная запись, и вам нужно разблокировать, потому что тайм-аут блокировки довольно длинный. Каждый раз, когда пользователя блокируют, в него вносится запись в формате Имя домена: Имя пользователя. Чтобы снять блокировку, нужно ее удалить.

• Откройте редактор реестра и перейдите по следующему пути.

Вот об этом. Всегда делайте резервную копию настроек реестра, прежде чем вносить какие-либо изменения.

Надеюсь, этот пост дал вам четкое представление о том, как настроить блокировку, а также разблокировать удаленный клиент.

Для защиты RDP сервера от брутфорса мы воспользуемся утилитой IPBan от Jeff Johnson.
Утилита IPBan блокирует ip адресс с которго идет перебор паролей после нескольких неудачных попыток авторизации.

Для начала проведем подготовительный этап.

Для того чтобы в логах системы отоброжались IP адреса с которых идет перебор паролей, нам нужно включить аудит событий.

Переходим в "Локальные политики" (Win + R, введите secpol.msc и "OK"). --> "Политика аудита" и включить регистрацию событий для "Аудита входа в систему" и "Аудита событий входа в систему":

Подготовительный этап закончен, переходим к настройке IPBan

Распаковываем архив, к примеру на диск C:\ в папку ipban.

Запускаем cmd консоль обязательно с правами Администратора.

И прописываем IPBan как службу Windows, командой:

Заходим в оснастку служб Windows (Win + R, введите services.msc и "OK") находим и запускаем службу IPBAN

IPBan отслеживает неудачные попытки входа и добавляет правило для Windows фаервола.
Удалить случайно добавленный ip адрес либо посмотреть какие адреса сейчас добавленны можно в оснастке фаервола - правило IPBan_Block_0.
Также создаются два правила IPBan_EmergingThreats_0 и IPBan_EmergingThreats_1000 - общеизвестные IP адреса с которых происходят попытки входа.

Вот и все, теперь наш Windows сервер зашишен от перебора паролей.

P.S. Также этот способ работает на Windows 8 - Windows 10.

После установки параметра "Сетевая безопасность: Ограничения NTLM: входящий трафик NTLM" и установите значение "Запретить все учетные записи" перестало пускать на сервер. Windows Server 2019

Да, на 2019 только NTLM2, убрал этот пункт из статьи. Файл IPBan.exe отсутствует в архивах и x86 и x64 для Windows, соответственно и служба не запускается. Таким образом, как запустить службу? Что-то странно. Или я что-то делаю не так? Кто проверял, у кого работает?

Файл правильно называется DigitalRuby.IPBan.exe, следуйте инструкции и у вас все получится Windows Server 2008 - при запуске службы выдает ошибку
"Не удалось запустить службу IPBAN на Локальный компьютер.
Ошибка 1053: Служба не ответила на запрос своевременно"

А служба ведь у вас установленна? Под правами администратора ведь все делаете?

Распаковываем архив, к примеру на диск C:\ в папку ipban.

Запускаем cmd консоль обязательно с правами Администратора.

И прописываем IPBan как службу Windows, командой:

в 2008 немного отличается синтаксис команды sc. запустите со знаком вопроса и посмотрите как нужно прописывать параметры. я уже точно не вспомню отличия, а под рукой нет тазика с этой операционкой. Запусти сам отдельно исполняемый файл (exe). Он ругнется что нет dll, скачай помоему Visual 2015 и все будет ок. погугли просто эту dll-ку Здравствуйте!
Можно ли как-то зайти в настройки IPBan (количество попыток до бана, время бана и т.д.)?

Можно, файл конфигурации DigitalRuby.IPBan.dll.config в формате XML.
За количество попыток до бана отвечает параметр FailedLoginAttemptsBeforeBan - по умолчанию 5 попыток.
За время бана параметр ExpireTime - по умолчанию бан на один день.

Скорее за время бана отвечает параметр BanTime.
ExpireTime устанавливает через сколько сбрасывается счётчик неудачных попыток авторизации. Спасибо за ответ.
В параметрах все как вы описывали, скачал свежий IPBan с репозитария и все равно не блокирует соединения, единственно меня смущает что в файерволе создается два правила IPBan_EmergingThreats_0 и IPBan_EmergingThreats_1000. Не знаю правильно ли это.

Регистрацию событий аудита вы ведь включили? как описано в статье в самом начале.

Тоже скачал новую версию 1.5.3.0 блокировка работает, правило IPBan_Block_0 создается и в него добавляются IP.

Правила IPBan_EmergingThreats_0 и IPBan_EmergingThreats_1000 появились в утилите начиная с версии 1.5.2.0 они нужны для блокировки общеизвестных IP с которых происходят попытки входа.

Читайте также:

  
• Как установить neat video в premiere mac os
  
• Windows task что это за папка
  
• Не обновляется рабочий стол windows 10
  
• Установка windows 7 с флешки зависает на установке обновлений
  
• Как сделать резервную копию windows 10 с помощью dism