A Sun tem um conceito chamado Multiplicador de Duração de Bloqueio; quanto mais um usuário tiver sido bloqueado durante um certo período, maior será a duração do bloqueio dele. Isso ajuda a impedir tentativas automatizadas de efetuar login, adivinhando a senha e os ataques de dicionário, devido à crescente duração do bloqueio.
Ao mesmo tempo, isso também não incomoda tanto os usuários legítimos.
Uma breve explicação disso pode ser encontrada aqui:
Não consegui encontrar um conceito semelhante para os sistemas de gerenciamento do Active Directory e do Windows. Existe uma maneira de replicar isso?
O Active Directory não tem esse comportamento.
Editar: Desculpe.
Editar # 2: Uma duração de bloqueio estático de, por exemplo, 30 minutos ou uma hora, é suficiente para tornar as tentativas de força bruta suficientemente inúteis. Se a Microsoft quisesse copiar o comportamento "multiplicador de duração do bloqueio", não seria muito difícil, mas resultaria em apenas um ganho muito pequeno na postura de segurança.