Összefoglalás
A találgatásos támadások egyike az első három módszernek, amellyel a Windows rendszerű számítógépeket megtámadják. A Windows-eszközök azonban jelenleg nem engedélyezik a beépített helyi rendszergazdai fiókok zárolását. Ez olyan forgatókönyveket hoz létre, amelyekben a megfelelő hálózati szegmentálás vagy behatolásészlelési szolgáltatás jelenléte nélkül a beépített helyi rendszergazdai fiók korlátlan találgatásos támadásnak lehet kitéve, hogy megpróbálja meghatározni a jelszót. Ezt a távoli asztali protokoll (RDP) használatával teheti meg a hálózaton keresztül. Ha a jelszavak nem hosszúak vagy összetettek, az ilyen támadások végrehajtásához szükséges idő a modern CPU-k és GPU-k használatával triviálissá válik.
A további találgatásos támadások megelőzése érdekében fiókzárolásokat vezetünk be a rendszergazdai fiókokhoz. 2022. október 11-től vagy újabb windowsos összegző frissítésektől kezdve egy helyi szabályzat lesz elérhető a helyi rendszergazdai fiókok beépített zárolásának engedélyezéséhez. Ez a házirend a Helyi számítógép-házirend\Számítógép konfigurációja\Windows-beállítások\Biztonsági beállítások\Fiókszabályzatok\Fiókzárolási házirendek területen található.
Meglévő számítógépek esetén ennek az értéknek a helyi vagy tartományi csoportházirend-objektum használatával engedélyezett értékre állítása lehetővé teszi a beépített helyi rendszergazdai fiók zárolását. Az ilyen környezeteknek érdemes megfontolni a másik három szabályzat beállítását is a Fiókzárolási szabályzatok területen. Az alapkonfigurációnk az, hogy 10/10/10 értékre állítsuk őket. Ez azt jelenti, hogy egy fiók 10 sikertelen kísérlet után 10 percen belül zárolva lesz, és a zárolás 10 percig tart. Ezt követően a fiók zárolása automatikusan fel lesz oldva.
Megjegyzés Az új zárolási viselkedés csak a hálózati bejelentkezésekre, például az RDP-kísérletekre van hatással. A konzolon való bejelentkezések továbbra is engedélyezettek lesznek a zárolási időszak alatt.
A Windows 11, 22H2-es vagy bármely olyan új számítógép esetében, amely tartalmazza a 2022. október 11-i Windows összegző frissítéseket a kezdeti beállítás előtt, ezek a beállítások alapértelmezés szerint be lesznek állítva a rendszer beállításakor. Ez akkor fordul elő, ha a SAM-adatbázist először példányosítják egy új számítógépen. Ha tehát egy új számítógépet állítottak be, majd később telepítették az októberi frissítéseket, alapértelmezés szerint nem lesz biztonságos. Ehhez a korábban ismertetett szabályzatbeállításokra lesz szükség. Ha nem szeretné, hogy ezek a házirendek vonatkozzanak az új számítógépre, beállíthatja ezt a helyi házirendet, vagy létrehozhat egy csoportházirendet a "Rendszergazdai fiók zárolásának engedélyezése" letiltott beállításának alkalmazásához.
Emellett a jelszó összetettségét is kényszerítjük az új számítógépen, ha beépített helyi rendszergazdai fiókot használ. A jelszónak legalább két alapkaraktertípust kell tartalmaznia (kisbetűs, nagybetűs és szám). Ez segít megvédeni ezeket a fiókokat attól, hogy egy találgatásos támadás miatt feltörjék őket. Ha azonban kevésbé összetett jelszót szeretne használni, akkor is beállíthatja a megfelelő jelszóházirendeket a Helyi számítógép-házirend\Számítógép konfigurációja\Windows-beállítások\Biztonsági beállítások\Fiókszabályzatok\Jelszóházirend területen.
További információ
A hozzáadott módosítások támogatják a beépített helyi rendszergazdai fiók DOMAIN_LOCKOUT_ADMINS és DOMAIN_PASSWORD_COMPLEX jelzőt. További információ: DOMAIN_PASSWORD_INFORMATION (ntsecapi.h).
Érték |
Jelentése |
DOMAIN_LOCKOUT_ADMINS 0x00000008L |
Lehetővé teszi, hogy a beépített helyi rendszergazdai fiók ki legyen zárva a hálózati bejelentkezésekből. |
DOMAIN_PASSWORD_COMPLEX 0x00000001L |
A jelszónak a következő típusú karakterek legalább két kombinációjával kell rendelkeznie:
|