الملخص
هجمات القوة الغاشمة هي واحدة من أفضل ثلاث طرق يتم بها الهجوم على أجهزة الكمبيوتر التي تعمل بنظام Windows اليوم. ومع ذلك، لا تسمح أجهزة Windows حاليا بتأمين حسابات المسؤول المحلي المضمنة. يؤدي هذا إلى إنشاء سيناريوهات يمكن فيها، دون تجزئة الشبكة المناسبة أو وجود خدمة الكشف عن التسلل، أن يتعرض حساب المسؤول المحلي المضمن لهجمات القوة الغاشمة غير المحدودة لمحاولة تحديد كلمة المرور. يمكن القيام بذلك باستخدام بروتوكول سطح المكتب البعيد (RDP) عبر الشبكة. إذا لم تكن كلمات المرور طويلة أو معقدة، فإن الوقت الذي سيستغرقه تنفيذ مثل هذا الهجوم أصبح تافها باستخدام وحدات المعالجة المركزية الحديثة ووحدات معالجة الرسومات.
في محاولة لمنع المزيد من هجمات القوة الغاشمة، نقوم بتنفيذ عمليات تأمين الحساب لحسابات المسؤول. بدءا من 11 أكتوبر 2022 أو التحديثات التراكمية اللاحقة ل Windows، سيتوفر نهج محلي لتمكين تأمين حساب المسؤول المحلي المضمن. يمكن العثور على هذا النهج ضمن نهج الكمبيوتر المحلي\تكوين الكمبيوتر\إعدادات Windows\إعدادات الأمان\نهج الحساب\نهج تأمين الحساب.
بالنسبة لأجهزة الكمبيوتر الموجودة، سيؤدي تعيين هذه القيمة إلى ممكن باستخدام عنصر نهج المجموعة محلي أو مجال إلى توفير القدرة على تأمين حساب المسؤول المحلي المضمن. يجب أن تفكر هذه البيئات أيضا في تعيين النهج الثلاثة الأخرى ضمن نهج تأمين الحساب. توصيتنا الأساسية هي تعيينها إلى 10/10/10. وهذا يعني أنه سيتم تأمين الحساب بعد 10 محاولات فاشلة في غضون 10 دقائق وسيستمر التأمين لمدة 10 دقائق. بعد ذلك، سيتم إلغاء تأمين الحساب تلقائيا.
ملاحظة يؤثر سلوك التأمين الجديد فقط على عمليات تسجيل الدخول إلى الشبكة، مثل محاولات RDP. ستظل عمليات تسجيل الدخول إلى وحدة التحكم مسموحا بها أثناء فترة التأمين.
بالنسبة لأجهزة الكمبيوتر الجديدة على Windows 11 أو الإصدار 22H2 أو أي أجهزة كمبيوتر جديدة تتضمن تحديثات Windows التراكمية في 11 أكتوبر 2022 قبل الإعداد الأولي، سيتم تعيين هذه الإعدادات بشكل افتراضي في إعداد النظام. يحدث هذا عند إنشاء مثيل قاعدة بيانات SAM لأول مرة على كمبيوتر جديد. لذلك، إذا تم إعداد كمبيوتر جديد ثم تم تثبيت تحديثات أكتوبر لاحقا، فلن يكون آمنا بشكل افتراضي. سيتطلب إعدادات النهج كما هو موضح سابقا. إذا كنت لا تريد تطبيق هذه النهج على الكمبيوتر الجديد، يمكنك تعيين هذا النهج المحلي أو إنشاء نهج مجموعة لتطبيق الإعداد معطل ل "السماح بتأمين حساب المسؤول".
بالإضافة إلى ذلك، نفرض الآن تعقيد كلمة المرور على كمبيوتر جديد إذا تم استخدام حساب مسؤول محلي مضمن. يجب أن تحتوي كلمة المرور على نوعين على الأقل من أنواع الأحرف الأساسية الثلاثة (أحرف صغيرة وأحرف كبيرة والأرقام). سيساعد هذا في حماية هذه الحسابات من التعرض للخطر بسبب هجوم القوة الغاشمة. ومع ذلك، إذا كنت تريد استخدام كلمة مرور أقل تعقيدا، فلا يزال بإمكانك تعيين نهج كلمة المرور المناسبة في نهج الكمبيوتر المحلي\تكوين الكمبيوتر\إعدادات Windows\إعدادات الأمان\نهج الحساب\نهج كلمة المرور.
مزيد من المعلومات
تدعم التغييرات المضافة علامة DOMAIN_LOCKOUT_ADMINS وعلامة DOMAIN_PASSWORD_COMPLEX لحساب المسؤول المحلي المضمن. لمزيد من المعلومات، راجع DOMAIN_PASSWORD_INFORMATION (ntsecapi.h).
|
القيمة |
معني |
|
DOMAIN_LOCKOUT_ADMINS 0x00000008L |
يسمح بتأمين حساب المسؤول المحلي المضمن من عمليات تسجيل دخول الشبكة. |
|
DOMAIN_PASSWORD_COMPLEX 0x00000001L |
يجب أن تحتوي كلمة المرور على مزيج من نوعين على الأقل من الأنواع التالية من الأحرف:
|
