Shrnutí
Útoky hrubou silou jsou jedním ze tří hlavních způsobů, jak jsou počítače s Windows dnes napadeny. Zařízení s Windows ale v současné době neumožňují uzamčení předdefinovaných účtů místních správců. To vytvoří scénáře, ve kterých bez správné segmentace sítě nebo přítomnosti služby detekce neoprávněných vniknutí může být integrovaný místní účet správce vystaven neomezeným útokům hrubou silou, aby se pokusil zjistit heslo. To lze provést pomocí protokolu RDP (Remote Desktop Protocol) přes síť. Pokud hesla nejsou dlouhá nebo složitá, doba potřebná k provedení takového útoku se stává triviální díky použití moderních procesorů a GPU.
Abychom zabránili dalším útokům hrubou silou, implementujeme uzamčení účtů pro účty správců. Od 11. října 2022 nebo novějších kumulativních aktualizací systému Windows budou k dispozici místní zásady pro povolení předdefinovaných uzamčení místních účtů správce. Tuto zásadu najdete v části Zásady místního počítače\Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady uzamčení účtu.
Nastavení této hodnoty na Povoleno pomocí místního objektu zásad skupiny nebo objektu zásad skupiny domény u stávajících počítačů umožní uzamknout integrovaný místní účet správce. Tato prostředí by také měla zvážit nastavení dalších tří zásad v části Zásady uzamčení účtu. Naším výchozím doporučením je nastavit je na 10.10.10. To znamená, že se účet uzamkne po 10 neúspěšných pokusech během 10 minut a uzamčení bude trvat 10 minut. Potom se účet automaticky odemkne.
Poznámka Nové chování uzamčení má vliv pouze na přihlášení k síti, jako jsou pokusy O PROTOKOL RDP. Během období uzamčení budou přihlášení ke konzole stále povolena.
Pro nové počítače v Windows 11 verze 22H2 nebo jakékoli nové počítače, které obsahují kumulativní aktualizace Systému Windows z 11. října 2022 před počáteční instalací, se tato nastavení nastaví ve výchozím nastavení při instalaci systému. K tomu dochází při prvním vytvoření instance databáze SAM na novém počítači. Takže pokud byl nastaven nový počítač a později se nainstalovaly aktualizace z října, nebude ve výchozím nastavení zabezpečený. Bude vyžadovat nastavení zásad, jak je popsáno výše. Pokud nechcete, aby se tyto zásady vztahovaly na nový počítač, můžete tuto místní zásadu nastavit nebo vytvořit zásadu skupiny, která použije nastavení Zakázáno pro možnost Povolit uzamčení účtu správce.
Kromě toho teď vynucujeme složitost hesla na novém počítači, pokud se používá integrovaný místní účet správce. Heslo musí obsahovat alespoň dva ze tří základních typů znaků (malá písmena, velká písmena a číslice). To pomůže ještě více chránit tyto účty před ohrožením kvůli útoku hrubou silou. Pokud ale chcete použít méně složité heslo, můžete pořád nastavit příslušné zásady hesel v části Zásady místního počítače\Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu\Zásady hesel.
Další informace
Přidané změny podporují příznak DOMAIN_LOCKOUT_ADMINS a DOMAIN_PASSWORD_COMPLEX pro integrovaný místní účet správce. Další informace najdete v tématu DOMAIN_PASSWORD_INFORMATION (ntsecapi.h).
|
Hodnota |
Význam |
|
DOMAIN_LOCKOUT_ADMINS 0x00000008L |
Umožňuje uzamčení předdefinovaného místního účtu správce při přihlašování k síti. |
|
DOMAIN_PASSWORD_COMPLEX 0x000000001L |
Heslo musí obsahovat kombinaci alespoň dvou z následujících typů znaků:
|
