דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

סיכום

התקפות כוח בריון הן אחת משלוש הדרכים המובילות שמחשבים של Windows מותקפים היום. עם זאת, מכשירי Windows אינם מאפשרים כעת נעולה של חשבונות מנהל מערכת מקומיים מוכללים. פעולה זו יוצרת תרחישים שבהם, ללא פילוח הרשת המתאים או הנוכחות של שירות זיהוי הפרעה, חשבון מנהל המערכת המקומי המוכלל יכול להיות כפוף לפיגועים בלתי מוגבלים בכוח כדי לנסות לקבוע את הסיסמה. ניתן לעשות זאת באמצעות פרוטוקול שולחן עבודה מרוחק (RDP) ברשת. אם הסיסמאות אינן ארוכות או מורכבות, הזמן שידרש לביצוע מתקפה כזו הופך לטריוויאלי באמצעות יחידות CPU ו- GPU מודרניות. 

כדי למנוע תקיפות כוח תקיפה נוספות, אנו מיישמים נעילות חשבון עבור חשבונות מנהל מערכת. החל מהעדכונים המצטברים של Windows מ- 11 באוקטובר 2022 או מאוחר יותר, מדיניות מקומית תהיה זמינה כדי לאפשר נעילות חשבון מנהל מערכת מקומיות מוכללות. ניתן למצוא מדיניות זו תחת מדיניות מחשב מקומי\תצורת מחשב\הגדרות Windows\הגדרות אבטחה\מדיניות חשבון\מדיניות נעילת חשבון.

אפשר נעילת חשבון מנהל מערכת

עבור מחשבים קיימים, הגדרת ערך זה כזמין באמצעות GPO מקומי או תחום תספק את היכולת לנעול את חשבון מנהל המערכת המקומי המוכלל. סביבות אלה צריכות גם לשקול להגדיר את שלושת פריטי המדיניות האחרים תחת מדיניות נעילת חשבון. ההמלצה הבסיסית שלנו היא להגדיר אותם ל- 10/10/10. משמעות הדבר היא שחשבון יינעל לאחר 10 נסיונות שנכשלו תוך 10 דקות והנעילה תימשך 10 דקות. לאחר מכן, החשבון ישוחרר באופן אוטומטי.

הערה אופן הפעולה החדש של הנעילה משפיע רק על כניסות רשת, כגון ניסיונות RDP. כניסות למסוף עדיין יתוורשו במהלך תקופת הנעילה.

עבור מחשבים חדשים ב- Windows 11, בגירסה 22H2 או בכל מחשב חדש הכולל את העדכונים המצטברים של Windows מ- 11 באוקטובר 2022 לפני ההגדרה הראשונית, הגדרות אלה יוגדרו כברירת מחדל בהגדרת המערכת. מצב זה מתרחש כאשר מסד הנתונים של SAM נוצר לראשונה במחשב חדש. לכן, אם המחשב החדש הוגדר ולאחר מכן הותקן בו עדכוני אוקטובר מאוחר יותר, הוא לא יהיה מאובטח כברירת מחדל. היא תדרוש את הגדרות המדיניות כפי שתואר קודם לכן. אם אינך מעוניין שמדיניות זו תחול על המחשב החדש שלך, באפשרותך להגדיר מדיניות מקומית זו או ליצור מדיניות קבוצתית כדי להחיל את ההגדרה לא זמין עבור "אפשר נעילת חשבון מנהל מערכת".

בנוסף, אנו אוכף כעת את מורכבות הסיסמה במחשב חדש אם נעשה שימוש בחשבון מנהל מערכת מקומי מוכלל. הסיסמה חייבת לכלול לפחות שניים משלושת סוגי התווים הבסיסיים (אותיות קטנות, אותיות רישיות ורגילות). זה יעזור להגן עוד יותר על חשבונות אלה מפני סכנה בגלל התקפה בכוח הברות. עם זאת, אם ברצונך להשתמש בסיסמה פחות מורכבת, עדיין תוכל להגדיר את מדיניות הסיסמה המתאימה במדיניות המחשב המקומי \תצורת המחשב\הגדרות Windows\הגדרות אבטחה\מדיניות חשבון/מדיניות סיסמה.

מידע נוסף

השינויים שנוספו תומכים DOMAIN_LOCKOUT_ADMINS ו- DOMAIN_PASSWORD_COMPLEX עבור חשבון מנהל המערכת המקומי המוכלל. לקבלת מידע נוסף, ראה DOMAIN_PASSWORD_INFORMATION (ntsecapi.h).

‏‏ערך

משמעות

DOMAIN_LOCKOUT_ADMINS

0x00000008L

מאפשר נעולה של חשבון מנהל המערכת המקומי המוכלל בפני כניסות רשת.

DOMAIN_PASSWORD_COMPLEX

0x00000001L

הסיסמה חייבת לכלול שילוב של לפחות שניים מסוגי התווים הבאים:

  • תווים באותיות רישיות

  • תווים באותיות קטנות

  • ספרות
Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×