Отключение блокировки администратора в Windows Server
| Уровень сложности | Лёгкий |
| Права администратора | Требуются |
| Требования | Командная стройка или Рабочий стол |
| Категория | Безопасность |
| Совместимость с ОС | Windows Server |
| Примерное время чтения | 10 минут |
Введение
Удалённые серверы с открытым RDP практически всегда находятся под постоянным «шумом», автоматические сканеры и боты перебирают пароли круглосуточно. Даже если используется сложный пароль, сами попытки входа могут создать проблему.
В 2023 году Microsoft ввела новую политику для Windows Server, теперь по умолчанию активируется механизм блокировки учётной записи администратора: при 10 неверных попытках входа в течение 10 минут аккаунт временно блокируется.
На выделенных серверах со статическим IP это может привести к неприятной ситуации - доступ к системе будет потерян не из-за взлома, а из-за фоновых попыток перебора.
Инструкция
Дисклеймер: отключение или ослабление политики блокировки учётной записи снижает уровень защиты сервера. Мы не рекомендуем применять такие изменения на постоянной основе. Используйте их только в исключительных случаях и при понимании возможных рисков.
Способ 1. Изменение через локальную политику безопасности
Откройте Server Manager.
Перейдите в Tools (Инструменты).
Выберите Local Security Policy (Локальная политика безопасности).
Откройте раздел: Account Policies и выберите Account Lockout Policy.
Найдите параметр Account lockout threshold и установите значение: 0
Можно установить большее число (например, 20–30), чтобы смягчить ограничения.
При установке 0 связанные параметры (время блокировки и сброс счётчика) автоматически деактивируются.
Способ 2. Быстрое отключение через командную строку
Если нет желания заходить искать настройки в интерфейсе, то можно выполнить одну команду в терминале:
net accounts /lockoutthreshold:0
Также этой командой можно увеличивать количество попыток:
Выполняйте команду с правами Администратора!
После этого система сразу отключит блокировку по количеству попыток входа.
Чтобы проверить текущие параметры:
net accounts
Стоит ли полностью отключать блокировку?
Полное отключение удобно, но снижает уровень защиты. Вместо этого можно использовать более безопасную стратегию:
- Ограничить RDP-доступ по IP через брандмауэр
- Разрешить подключение только через VPN
- Сменить стандартный порт RDP
- Переименовать встроенную учётную запись Administrator
- Использовать сложные пароли или двухфакторную аутентификацию
- Настроить защиту через Windows Firewall с правилами по странам/IP
В идеале сервер вообще не должен иметь открытый RDP в интернет.
Заключение
Мы изменили параметры блокировки учётной записи в Windows Server, и теперь сервер снова доступен для стабильной работы без риска случайной самоблокировки.
Можно продолжать администрирование в обычном режиме, но не забывайте регулярно проверять настройки безопасности, контролировать доступ к RDP и отслеживать попытки входа.