В конце концов («методом грубой силы») настойчивый злоумышленник подберет любой пароль. Для предотвращения этого в большинстве ОС предусмотрена возможности блокировки учетной записи после заданного числа неудачных попыток зарегистрироваться. В Windows 2000 блокировкой управляют три политики (рис. 13.6). Ниже они описаны подробно.
• Блокировка учетной записи на (Account lockout duration).Время в минутах, в течение которого учетная запись остается блокированной после заданного числа неудачных регистрации. Нулевое значение для
этой политики означает, что учетная запись заблокирована до тех пор, пока администратор не разблокирует ее вручную, сбросив флажок Заблокировать учетную запись (Account is locked out) на вкладке Учетная запись (Account) диалогового окна со свойствами пользователя, доступ к которому открывает консоль Active Directory - пользователи икомпьютеры (Active Directory Users and Computers).
• Пороговое значение блокировки (Account lockout threshold).Число неудачных попыток регистрации, после которого учетная запись блокируется (т. е. регистрация становится невозможной). Ошибки при наборе пароля случаются постоянно (из-за опечаток или неверного регистра символов), поэтому, как правило, пользователю имеет смысл дать по меньшей мере три попытки. Нулевое значение совсем отключает блокировку.
* Сброс счетчика блокировки через (Reset account lockout counter after).Время в минутах, по истечении которого обнуляется счетчик неудачных попыток регистрации. Счетчик всегда обнуляется при успешной регистрации. Однако, если пользователю не удалось зарегистрироваться, количество числящихся за ним неудачных регистрации в течение этого времени сохраняется неизменным.