סיכום
התקפות כוח בריון הן אחת משלוש הדרכים המובילות שמחשבים של Windows מותקפים היום. עם זאת, מכשירי Windows אינם מאפשרים כעת נעולה של חשבונות מנהל מערכת מקומיים מוכללים. פעולה זו יוצרת תרחישים שבהם, ללא פילוח הרשת המתאים או הנוכחות של שירות זיהוי הפרעה, חשבון מנהל המערכת המקומי המוכלל יכול להיות כפוף לפיגועים בלתי מוגבלים בכוח כדי לנסות לקבוע את הסיסמה. ניתן לעשות זאת באמצעות פרוטוקול שולחן עבודה מרוחק (RDP) ברשת. אם הסיסמאות אינן ארוכות או מורכבות, הזמן שידרש לביצוע מתקפה כזו הופך לטריוויאלי באמצעות יחידות CPU ו- GPU מודרניות.
כדי למנוע תקיפות כוח תקיפה נוספות, אנו מיישמים נעילות חשבון עבור חשבונות מנהל מערכת. החל מהעדכונים המצטברים של Windows מ- 11 באוקטובר 2022 או מאוחר יותר, מדיניות מקומית תהיה זמינה כדי לאפשר נעילות חשבון מנהל מערכת מקומיות מוכללות. ניתן למצוא מדיניות זו תחת מדיניות מחשב מקומי\תצורת מחשב\הגדרות Windows\הגדרות אבטחה\מדיניות חשבון\מדיניות נעילת חשבון.
עבור מחשבים קיימים, הגדרת ערך זה כזמין באמצעות GPO מקומי או תחום תספק את היכולת לנעול את חשבון מנהל המערכת המקומי המוכלל. סביבות אלה צריכות גם לשקול להגדיר את שלושת פריטי המדיניות האחרים תחת מדיניות נעילת חשבון. ההמלצה הבסיסית שלנו היא להגדיר אותם ל- 10/10/10. משמעות הדבר היא שחשבון יינעל לאחר 10 נסיונות שנכשלו תוך 10 דקות והנעילה תימשך 10 דקות. לאחר מכן, החשבון ישוחרר באופן אוטומטי.
הערה אופן הפעולה החדש של הנעילה משפיע רק על כניסות רשת, כגון ניסיונות RDP. כניסות למסוף עדיין יתוורשו במהלך תקופת הנעילה.
עבור מחשבים חדשים ב- Windows 11, בגירסה 22H2 או בכל מחשב חדש הכולל את העדכונים המצטברים של Windows מ- 11 באוקטובר 2022 לפני ההגדרה הראשונית, הגדרות אלה יוגדרו כברירת מחדל בהגדרת המערכת. מצב זה מתרחש כאשר מסד הנתונים של SAM נוצר לראשונה במחשב חדש. לכן, אם המחשב החדש הוגדר ולאחר מכן הותקן בו עדכוני אוקטובר מאוחר יותר, הוא לא יהיה מאובטח כברירת מחדל. היא תדרוש את הגדרות המדיניות כפי שתואר קודם לכן. אם אינך מעוניין שמדיניות זו תחול על המחשב החדש שלך, באפשרותך להגדיר מדיניות מקומית זו או ליצור מדיניות קבוצתית כדי להחיל את ההגדרה לא זמין עבור "אפשר נעילת חשבון מנהל מערכת".
בנוסף, אנו אוכף כעת את מורכבות הסיסמה במחשב חדש אם נעשה שימוש בחשבון מנהל מערכת מקומי מוכלל. הסיסמה חייבת לכלול לפחות שניים משלושת סוגי התווים הבסיסיים (אותיות קטנות, אותיות רישיות ורגילות). זה יעזור להגן עוד יותר על חשבונות אלה מפני סכנה בגלל התקפה בכוח הברות. עם זאת, אם ברצונך להשתמש בסיסמה פחות מורכבת, עדיין תוכל להגדיר את מדיניות הסיסמה המתאימה במדיניות המחשב המקומי \תצורת המחשב\הגדרות Windows\הגדרות אבטחה\מדיניות חשבון/מדיניות סיסמה.
מידע נוסף
השינויים שנוספו תומכים DOMAIN_LOCKOUT_ADMINS ו- DOMAIN_PASSWORD_COMPLEX עבור חשבון מנהל המערכת המקומי המוכלל. לקבלת מידע נוסף, ראה DOMAIN_PASSWORD_INFORMATION (ntsecapi.h).
ערך |
משמעות |
DOMAIN_LOCKOUT_ADMINS 0x00000008L |
מאפשר נעולה של חשבון מנהל המערכת המקומי המוכלל בפני כניסות רשת. |
DOMAIN_PASSWORD_COMPLEX 0x00000001L |
הסיסמה חייבת לכלול שילוב של לפחות שניים מסוגי התווים הבאים:
|