Ograniczenie liczby nieudanych prób logowania w Windows jest realizowane mechanizmem blokady konta (account lockout). Dzięki temu po określonej liczbie błędnych haseł konto zostaje czasowo zablokowane (a czasem wymagane jest odblokowanie przez administratora), co utrudnia ataki typu brute force i ataki słownikowe.
Takie parametry są elementem polityk zabezpieczeń kont i administruje się nimi w ramach Zasad grup, w obszarze odpowiadającym Zasadom konta. W tym miejscu zwykle ustawia się m.in. próg blokady konta, czas trwania blokady oraz czas resetowania licznika nieudanych logowań. To jest właściwa warstwa konfiguracji dla kontroli logowań.
Odpowiedź "Zasady grup, Opcje zabezpieczeń." jest myląca, ponieważ "Opcje zabezpieczeń" obejmują wiele ustawień systemowych (np. zachowania UAC, podpisywanie, interakcje logowania), ale sama polityka progu nieudanych logowań należy do polityk kont (blokada konta), a nie do ogólnych opcji zabezpieczeń.
Odpowiedź "Panel Sterowania, Konta użytkowników." nie jest właściwa, bo panel zarządzania kontami dotyczy głównie tworzenia kont, typów kont, haseł i niektórych ustawień profilu. Nie jest to centralne miejsce definiowania polityk bezpieczeństwa, takich jak blokada konta po X nieudanych logowaniach.
Odpowiedź "Panel Sterowania, Zaporę systemu Windows." także nie pasuje: zapora filtruje ruch sieciowy (połączenia przychodzące/wychodzące), natomiast limit nieudanych logowań to mechanizm uwierzytelniania i polityk kont. Zapora może ograniczyć dostęp do usług z sieci, ale nie zastępuje reguły blokady konta.
W praktyce egzaminacyjnej warto pamiętać: ataki na hasła ogranicza się politykami kont (hasła i blokady), a ataki sieciowe – m.in. zaporą i regułami dostępu. To dwa różne obszary zabezpieczeń, choć oba wspierają ochronę systemu.
