La modifica della durata del blocco degli account di Windows può contribuire a ridurre le vulnerabilità che possono causare accessi non autorizzati a un dispositivo. Esistono molti modi per proteggere il dispositivo da accessi non autorizzati, tra cui l’applicazione dei requisiti di password per gli account locali. In questo articolo parleremo del blocco degli account, in particolare delle sue configurazioni e della sua importanza per la protezione dei dati e la sicurezza informatica.
Come configurare le impostazioni di blocco degli account
Ecco una guida passo per passo su come modificare le impostazioni di blocco degli account. Prima di passare alle impostazioni di blocco degli account, assicurati di rispettare i prerequisiti.
Prima di configurare le impostazioni di blocco degli account, verifica quanto segue
- Privilegi amministrativi: Solo gli amministratori possono modificare i criteri di sicurezza. Se l’account utente non è di livello amministratore, accedi a un account di livello amministratore. In alternativa, puoi contattare un amministratore IT per modificare le impostazioni di blocco degli account.
- Accesso ai Criteri di sicurezza locali o all’Editor criteri di gruppo: A seconda dell’edizione e dell’ambiente di Windows, per configurare le impostazioni di blocco degli account dovrai accedere ai Criteri di sicurezza locali (per i computer standalone o i gruppi di lavoro) o all’Editor dei criteri di gruppo (per gli ambienti di dominio).
- Familiarità con i criteri di sicurezza: La comprensione delle relative impostazioni è fondamentale per conoscere gli effetti di configurazioni specifiche e il loro impatto sul sistema e sulla sicurezza.
Ora che hai capito di che si tratta, poi iniziare a modificare la durata del blocco seguendo i passaggi indicati di seguito.
Utilizzando i criteri di sicurezza locale
- Apri i Criteri di sicurezza locale:
-
- Premi la combinazione di tasti Win + R, digita secpol.msc e clicca su OK.
- Cerca criterio di blocco degli account (Account Lockout):
-
- Nel riquadro di sinistra, vai su Criteri account > Criterio di blocco account.
- Modifica la durata del blocco degli account:
-
- Nel riquadro di destra, clicca due volte su Durata blocco account.
- Inserisci un valorecompreso tra 0 e 99999 minuti.
- Nota: Un valore 0 richiede che l’amministratore sblocchi manualmente l’account.
- Salva e applica:
-
- Clicca su OK per salvare le modifiche. Chiudi la finestra Criteri di sicurezza locali.
Utilizzando l’Editor Criteri di gruppo (per ambienti di dominio)
- Apri la Console di gestione dei Criteri di gruppo:
-
- Premi la combinazione di tasti Win + R, digita gpmc.msc e clicca su OK.
- Vai su Oggetto Criteri (Policy object):
-
- Espandi il dominio o l’unità organizzativa (OU) in cui è applicato il criterio.
- Modifica il criterio:
-
- Clicca con il tasto destro del mouse sull’oggetto Criteri di gruppo (GPO) in questione e seleziona Modifica.
- Vai su Configurazione del computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Criteri account > Criteri di blocco degli account.
- Clicca due volte su Durata blocco account e regola il valore.
- Applica il criterio:
-
- Salva le modifiche e assicurati che la GPO sia applicata ai computer o agli utenti di destinazione.
Utilizzando il prompt dei comandi
- Apri il Prompt dei comandi con privilegi di amministratore:
-
- Premi la combinazione di tasti Win + X, quindi seleziona Prompt dei comandi (come amministratore) o Terminale Windows (come amministratore).
- Controlla la durata del blocco attuale:
-
- Digita il comando net accounts e premi Invio.
- Verifica la durata attualmente in uso.
- Modifica la durata del blocco:
-
- Esegui il comando: net accounts /lockoutduration:Number
- Sostituisci Number con un valore compreso tra 0 e 99999 minuti.
- Sostituisci Number con un valore compreso tra 0 e 99999 minuti.
- Esegui il comando: net accounts /lockoutduration:Number
- Verifica le modifiche:
-
- Esegui nuovamente net accounts per verificare la nuova durata del blocco.
Cosa c’è da sapere sul blocco degli account e sulla durata del blocco degli account
Il blocco degli account in Windows è una funzione che blocca un account utente dopo un determinato numero di tentativi di accesso non riusciti. Questa impostazione di sicurezza può aiutare a prevenire l’accesso non autorizzato a un dispositivo, anche se l’utente dispone già di informazioni vitali sull’account, come il nome utente.
Cosa si intende per durata del blocco degli account?
La funzione di blocco degli account ha una strategia di difesa che impone una durata per la quale l’account bloccato rimane inaccessibile. A seconda delle configurazioni dell’utente o dell’amministratore, la durata del blocco determina per quanto tempo un account bloccato rimane inaccessibile dopo aver superato il numero consentito di tentativi di accesso non riusciti. Gli amministratori di sistema di solito modificano questa impostazione per integrare altre configurazioni di sicurezza, come per esempio:
- Soglia di blocco degli account: il numero di tentativi di accesso falliti prima che un account venga bloccato
- Azzeramento del contatore di blocco degli account dopo: la finestra temporale in minuti dopo la quale il contatore dei tentativi falliti si azzera
La corretta configurazione di queste impostazioni è fondamentale per combattere i meccanismi che mirano a ottenere un accesso non autorizzato a un dispositivo.
Risoluzione dei problemi più comuni
Impossibile accedere ai Criteri di sicurezza locali o all’Editor dei criteri di gruppo
Gli utenti o gli amministratori IT potrebbero avere difficoltà ad accedere ai Criteri di sicurezza locali o all’Editor Criteri di gruppo. Ecco alcune soluzioni che potrebbero aiutarti:
-
- Verifica la versione di Windows in uso: Alcune edizioni di Windows non supportano i Criteri di sicurezza locale e l’Editor Criteri di gruppo. Per verificare se stai utilizzando un’edizione di Windows in cui è disponibile l’opzione che cerchi, accedi a Impostazioni > Sistema > Informazioni sul sistema e controlla l’edizione di Windows in corrispondenza delle specifiche di Windows. Se utilizzi Windows Home, questi strumenti non sono disponibili per impostazione predefinita. Prendi in considerazione l’aggiornamento a Windows Pro o l’utilizzo di metodi alternativi come le modifiche al registro di sistema.
- Utilizza il Prompt dei comandi: Se non riesci ad accedere a Criteri di sicurezza locali o all’Editor Criteri di gruppo, puoi seguire la guida riportata sopra per configurare le impostazioni di blocco degli account utilizzando il Prompt dei comandi.
- Eleva i privilegi: La configurazione dei Criteri di sicurezza locali o dell’Editor Criteri di gruppo richiede privilegi amministrativi. Accedi con un account di amministratore o, se necessario, contattare l’amministratore IT per assistenza.
Si verificano conflitti tra i criteri locali e quelli di dominio
In alcuni casi, le impostazioni dei Criteri di gruppo applicate a livello di dominio prevalgono sulle impostazioni dei criteri di sicurezza locali, influenzando varie configurazioni, come l’accesso e i privilegi degli utenti, le impostazioni di sicurezza, le configurazioni di sistema e altro ancora. Ecco cosa puoi fare:
-
- Identifica e risolvere i conflitti: Determina dove le impostazioni dei Criteri di gruppo prevalgono sulle impostazioni dei criteri locali. In base alle tue esigenze e ai tuoi requisiti, decidi quale criterio deve avere la precedenza. Quindi, modifica le impostazioni in base alle tue preferenze.
- Coordinati con il team IT: Alcune configurazioni possono essere modificate solo dal team IT o dagli amministratori IT. Per esempio, i criteri di dominio possono richiedere modifiche a livello di dominio per risolvere i conflitti e garantire impostazioni di sicurezza coerenti in tutta la rete. Contattare il team IT potrebbe essere la soluzione migliore.
Le modifiche ai criteri non vengono applicate
Potresti anche riscontrare problemi nel rendere effettive le configurazioni dei criteri, e questo potrebbe avere un impatto sulla produttività e sulla sicurezza del sistema. Per risolvere la situazione, ecco cosa puoi fare:
-
- Forza un aggiornamento dei criteri: Esegui il comando gpupdate /force nel prompt dei comandi (con privilegi di amministratore). Questo comando forza l’applicazione immediata di tutti gli aggiornamenti dei Criteri di gruppo in sospeso.
Best practice e raccomandazioni per l’impostazione della durata del blocco degli account
La varietà di difese di sicurezza che un’impostazione di blocco degli account può fornire dipende da come viene configurata in base a esigenze e requisiti specifici. Tenendo presente questo aspetto, puoi seguire alcune best practice relative alla durata del blocco degli account. Ecco alcune strategie che puoi applicare:
- Valori consigliati: Imposta la durata tra 15 e 30 minuti. Questo range è un buon punto di partenza se vuoi trovare un equilibrio tra sicurezza e usabilità per la maggior parte degli ambienti. Può offrire un deterrente sufficiente contro l’identificazione automatica delle password (attacchi brute-force), riducendo al tempo stesso la frustrazione dei proprietari degli account utente che possono incorrere in errori involontari quando forniscono le loro password.
- Revisioni periodiche: Dedicare del tempo alla revisione periodica dei criteri è fondamentale per mantenere una solida posizione di sicurezza. Le minacce informatiche si evolvono continuamente ed emergono sempre nuovi vettori e tecniche di attacco. Ecco perché le impostazioni di blocco degli account devono essere in linea con l’evoluzione delle esigenze di sicurezza.
- Evita gli estremi: Impostare valori di durata troppo brevi o troppo lunghi può causare vulnerabilità alla sicurezza o problemi di usabilità. Durate di blocco degli account estremamente brevi (meno di 5 minuti) aumentano il rischio che gli utenti legittimi vengano ripetutamente bloccati a causa di piccoli errori di battitura o di problemi temporanei di rete, con un impatto significativo sulla loro produttività. Al contrario, i blocchi a tempo indeterminato (0 minuti) rappresentano un grave rischio per la sicurezza, in quanto gli account compromessi possono rimanere attivi a tempo indeterminato.
Domande frequenti (FAQ)
-
Qual è la durata predefinita del blocco degli account in Windows?
L’impostazione predefinita è 30 minuti. In questo modo il sistema viene bloccato per 30 minuti dopo diversi tentativi di accesso non validi. Il sistema rimarrà bloccato per mezz’ora prima di tornare a essere utilizzabile.
-
È possibile applicare questa impostazione solo a determinati account?
No, le impostazioni di blocco degli account si applicano globalmente a tutti gli account locali. La stessa durata e la stessa soglia di blocco saranno applicate a tutti gli account utente del sistema locale.
-
Come funzionano insieme la durata del blocco degli account e la soglia?
La soglia attiva il blocco e la durata definisce il periodo di tempo in cui l’account rimane bloccato. Questo meccanismo migliora la sicurezza degli account impedendo l’accesso non autorizzato dopo più tentativi di accesso falliti.
Proteggere il sistema con il blocco degli account
Le impostazioni di blocco degli account sono un insieme di configurazioni che possono contribuire a mantenere la sicurezza del dispositivo impedendo accessi non autorizzati. La durata del blocco degli account configurata correttamente aiuta a scoraggiare gli attacchi brute-force e a ridurre il rischio di accessi non autorizzati, bloccando gli account dopo diversi tentativi di accesso falliti.
La comprensione di queste impostazioni migliora la sicurezza del sistema, creando una difesa contro tentativi di intrusione sofisticati e riducendo al minimo l’impatto di potenziali violazioni di sicurezza.