Σύνοψη
Οι επιθέσεις με βία είναι ένας από τους τρεις κορυφαίους τρόπους με τους οποίους οι υπολογιστές με Windows δέχονται επίθεση σήμερα. Ωστόσο, οι συσκευές Windows προς το παρόν δεν επιτρέπουν τον κλείδωμα ενσωματωμένων τοπικών λογαριασμών διαχειριστή. Αυτό δημιουργεί σενάρια στα οποία, χωρίς τον κατάλληλο τμηματικό τομέα δικτύου ή την παρουσία μιας υπηρεσίας εντοπισμού εισβολών, ο ενσωματωμένος τοπικός λογαριασμός διαχειριστή μπορεί να υποστεί απεριόριστες επιθέσεις ωμής βίας για να προσπαθήσει να προσδιορίσει τον κωδικό πρόσβασης. Αυτό μπορεί να γίνει χρησιμοποιώντας το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) μέσω δικτύου. Εάν οι κωδικοί πρόσβασης δεν είναι μεγάλοι ή σύνθετοι, ο χρόνος που θα χρειαστεί για την εκτέλεση μιας τέτοιας επίθεσης γίνεται ασήμαντος χρησιμοποιώντας σύγχρονες CSU και GSU.
Σε μια προσπάθεια να αποτρέψουμε περαιτέρω επιθέσεις με ωμή βία, εφαρμόζουμε αποκλεισμό λογαριασμών για λογαριασμούς διαχειριστών. Ξεκινώντας από τις 11 Οκτωβρίου 2022 ή μεταγενέστερες αθροιστικές ενημερώσεις των Windows, θα είναι διαθέσιμη μια τοπική πολιτική για την ενεργοποίηση των ενσωματωμένων τοπικών κλειδώματος λογαριασμού διαχειριστή. Αυτή η πολιτική βρίσκεται στην περιοχή Τοπική πολιτική υπολογιστή\Ρυθμίσεις υπολογιστή\Ρυθμίσεις των Windows\Ρυθμίσεις ασφαλείας\Πολιτικές λογαριασμού\Πολιτικές κλειδώματος λογαριασμού.
Για τους υπάρχοντες υπολογιστές, ο ορισμός αυτής της τιμής σε Ενεργοποιημένο με χρήση τοπικού GPO ή GPO τομέα θα παρέχει τη δυνατότητα κλειδώματος του ενσωματωμένου τοπικού λογαριασμού διαχειριστή. Αυτά τα περιβάλλοντα θα πρέπει επίσης να εξετάσουν το ενδεχόμενο ρύθμισης των άλλων τριών πολιτικών στο πλαίσιο των Πολιτικών κλειδώματος λογαριασμού. Η βασική μας σύσταση είναι να τις ορίσετε στην τιμή 10/10/10. Αυτό σημαίνει ότι ένας λογαριασμός θα κλειδωθεί μετά από 10 αποτυχημένες προσπάθειες εντός 10 λεπτών και ο αποκλεισμός θα διαρκέσει 10 λεπτά. Μετά από αυτό, ο λογαριασμός θα ξεκλειδωθεί αυτόματα.
Σημείωση Η νέα συμπεριφορά αποκλεισμού επηρεάζει μόνο συνδέσεις δικτύου, όπως προσπάθειες RDP. Οι συνδέσεις κονσόλας θα εξακολουθήσουν να επιτρέπονται κατά την περίοδο κλειδώματος.
Για τους νέους υπολογιστές με Windows 11, έκδοση 22H2 ή οποιουσδήποτε νέους υπολογιστές που περιλαμβάνουν τις αθροιστικές ενημερώσεις της 11ης Οκτωβρίου 2022 των Windows πριν από την αρχική εγκατάσταση, αυτές οι ρυθμίσεις θα οριστούν από προεπιλογή κατά την εγκατάσταση του συστήματος. Αυτό συμβαίνει όταν η βάση δεδομένων SAM πραγματοποιείται για πρώτη φορά σε νέο υπολογιστή. Επομένως, αν ρυθμίσατε έναν νέο υπολογιστή και μετά εγκαταστήσατε τις ενημερώσεις οκτωβρίου αργότερα, δεν θα είναι ασφαλής από προεπιλογή. Θα χρειαστούν οι ρυθμίσεις πολιτικής όπως περιγράφεται παραπάνω. Εάν δεν θέλετε αυτές οι πολιτικές να ισχύουν για τον νέο υπολογιστή σας, μπορείτε να ορίσετε αυτήν την τοπική πολιτική ή να δημιουργήσετε μια πολιτική ομάδας για να εφαρμόσετε τη ρύθμιση Απενεργοποιημένο για "Να επιτρέπεται ο αποκλεισμός λογαριασμού διαχειριστή".
Επιπλέον, τώρα επιβάλλουμε πολυπλοκότητα κωδικών πρόσβασης σε νέο υπολογιστή, εάν χρησιμοποιείται ενσωματωμένος τοπικός λογαριασμός διαχειριστή. Ο κωδικός πρόσβασης πρέπει να έχει τουλάχιστον δύο από τους τρεις βασικούς τύπους χαρακτήρων (πεζά, κεφαλαία και αριθμητικά). Αυτό θα συμβάλει στην περαιτέρω προστασία αυτών των λογαριασμών από το να παραβιαστούν λόγω επίθεσης με ωμή βία. Ωστόσο, εάν θέλετε να χρησιμοποιήσετε έναν λιγότερο σύνθετο κωδικό πρόσβασης, μπορείτε να ορίσετε τις κατάλληλες πολιτικές κωδικού πρόσβασης στην Τοπική πολιτική υπολογιστή\Ρυθμίσεις υπολογιστή\Ρυθμίσεις των Windows\Ρυθμίσεις ασφαλείας\Πολιτικές λογαριασμού\Πολιτική κωδικού πρόσβασης.
Περισσότερες πληροφορίες
Οι αλλαγές που προστέθηκαν υποστηρίζουν τη σημαία DOMAIN_LOCKOUT_ADMINS και DOMAIN_PASSWORD_COMPLEX για τον ενσωματωμένο τοπικό λογαριασμό διαχειριστή. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα DOMAIN_PASSWORD_INFORMATION (ntsecapi.h).
Τιμή |
Έννοια |
DOMAIN_LOCKOUT_ADMINS 0x00000008L |
Επιτρέπει στον ενσωματωμένο τοπικό λογαριασμό διαχειριστή να κλειδωθεί από συνδέσεις δικτύου. |
DOMAIN_PASSWORD_COMPLEX 0x00000001L |
Ο κωδικός πρόσβασης πρέπει να περιέχει τουλάχιστον δύο από τους ακόλουθους τύπους χαρακτήρων:
|