KB5020282: bloqueo de cuenta disponible para administradores locales integrados

Resumen

Los ataques con fuerza bruta son una de las tres principales maneras en que los equipos Windows son atacados hoy en día. Sin embargo, los dispositivos Windows actualmente no permiten bloquear las cuentas de administrador locales integradas. Esto crea escenarios en los que, sin la segmentación de red adecuada o la presencia de un servicio de detección de intrusiones, la cuenta de administrador local integrada puede ser sometida a ataques de fuerza bruta ilimitadas para intentar determinar la contraseña. Esto se puede hacer mediante el protocolo de Escritorio remoto (RDP) a través de la red. Si las contraseñas no son largas o complejas, el tiempo que se tardaría en realizar este tipo de ataque se está volviendo banal al usar CPU modernas y GPU. 

En un esfuerzo por evitar nuevos ataques con fuerza bruta, estamos implementando bloqueos de cuenta para las cuentas de administrador. A partir del 11 de octubre de 2022 o de las actualizaciones acumulativas de Windows posteriores, estará disponible una directiva local para habilitar los bloqueos de cuenta de administrador local integrados. Esta directiva se encuentra en Directiva de equipo local\Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directivas de bloqueo de cuenta.

Para los equipos existentes, establecer este valor en Habilitado mediante un GPO local o de dominio ofrecerá la posibilidad de bloquear la cuenta de administrador local integrada. Estos entornos también deberían considerar la posibilidad de establecer las otras tres directivas en Directivas de bloqueo de cuenta. Nuestra recomendación de línea base es establecerlas en 10/10/10. Esto significa que una cuenta se bloquearía después de 10 intentos fallidos en un plazo de 10 minutos y el bloqueo duraría 10 minutos. Después, la cuenta se desbloquearía automáticamente.

Nota El nuevo comportamiento de bloqueo solo afecta a los inicios de sesión de red, como los intentos de RDP. Los inicios de sesión de la consola seguirán estando permitidos durante el período de bloqueo.

Para los equipos nuevos de Windows 11, versión 22H2 o cualquier equipo nuevo que incluya las actualizaciones acumulativas de Windows del 11 de octubre de 2022 antes de la configuración inicial, esta configuración se establecerá de forma predeterminada en la configuración del sistema. Esto ocurre cuando se crea una instancia de la base de datos SAM por primera vez en un equipo nuevo. Por lo tanto, si se configuró un equipo nuevo y después se instalaron las actualizaciones de octubre más tarde, no será seguro de forma predeterminada. Requerirá la configuración de directiva como se describió anteriormente. Si no quiere que estas directivas se apliquen a su equipo nuevo, puede establecer esta directiva local o crear una directiva de grupo para aplicar la configuración Deshabilitada de "Permitir bloqueo de cuenta de administrador".

Además, ahora estamos imponiendo la complejidad de las contraseñas en un equipo nuevo si se usa una cuenta de administrador local integrada. La contraseña debe tener al menos dos de los tres tipos de caracteres básicos (minúsculas, mayúsculas y números). Esto ayudará a proteger aún más estas cuentas de estar en peligro debido a un ataque de fuerza bruta. Sin embargo, si quieres usar una contraseña menos compleja, puedes establecer las directivas de contraseñas adecuadas en Directiva de equipo local\Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directivas de contraseña.