适用范围

介绍 帐户锁定持续时间 安全策略设置的最佳做法、位置、值和安全注意事项。

帐户锁定持续时间策略设置确定锁定的帐户在自动解锁之前保持锁定状态的分钟数。 可用范围为 1 到 99，999 分钟。 值 0 指定帐户将被锁定，直到管理员显式解除锁定。 如果 帐户锁定阈值 设置为大于零的数字， 则帐户锁定持续时间 必须大于或等于 重置帐户锁定计数器后的值。 此策略设置依赖于定义的 帐户锁定阈值 策略设置，并且它必须大于或等于在策略设置 后为重置帐户锁定计数器 指定的值。

如果配置了 帐户锁定阈值 ，在指定的失败尝试次数之后，帐户将被锁定。如果 帐户锁定持续时间 设置为 0，则帐户将保持锁定状态，直到管理员手动将其解锁。

建议将 帐户锁定持续时间 设置为大约 15 分钟。 若要指定永远不会锁定帐户，请将 “帐户锁定阈值 ”设置为 0。

计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略

下表列出了实际和有效的默认策略值。 默认值也会在策略的属性页上列出。

尝试登录计算机期间多次未成功提交密码可能表示攻击者尝试通过试用和错误来确定帐户密码。 Windows 和 Windows Server 操作系统可以跟踪登录尝试，你可以将操作系统配置为在指定次数的失败尝试后在预设的时间段内禁用帐户。 帐户锁定策略设置控制此响应的阈值，以及达到阈值后要执行的操作。

如果攻击者滥用 帐户锁定阈值 策略设置并反复尝试使用特定帐户登录，则可以创建拒绝服务 (DoS) 条件。 配置帐户锁定阈值策略设置后，在指定的失败尝试次数后，帐户将被锁定。 如果将 “帐户锁定持续时间” 策略设置为 0，则帐户将保持锁定状态，直到你手动解锁它。

将 帐户锁定持续时间 策略设置配置为适合你的环境的值。 若要指定帐户在手动解锁之前保持锁定状态，请将值配置为 0。 将 “帐户锁定持续时间” 策略设置配置为非零值时，自动猜测帐户密码的尝试将在此间隔内延迟，然后再对特定帐户恢复尝试。 将此设置与 帐户锁定阈值 策略设置结合使用会使自动密码猜测尝试更加困难。

将 帐户锁定持续时间 策略设置为 0 以便无法自动解锁帐户可能会增加组织技术支持收到的解锁错误锁定帐户的请求数。

帐户锁定策略