Riassunto
Gli attacchi con forza bruta sono uno dei tre principali modi in cui i computer Windows sono attaccati oggi. Tuttavia, i dispositivi Windows attualmente non consentono il blocco degli account amministratore locali predefiniti. In questo modo si creano scenari in cui, senza la corretta segmentazione di rete o la presenza di un servizio di rilevamento delle intrusioni, l'account amministratore locale incorporato può essere sottoposto a attacchi di forza bruta illimitati per tentare di determinare la password. Questa operazione può essere eseguita tramite Remote Desktop Protocol (RDP) in rete. Se le password non sono lunghe o complesse, il tempo necessario per eseguire un tale attacco sta diventando banale utilizzando moderne CPU e GPU.
Per evitare ulteriori attacchi di forza bruta, stiamo implementando blocchi degli account per gli account amministratore. A partire dagli aggiornamenti cumulativi di Windows dell'11 ottobre 2022 o successivi, saranno disponibili criteri locali per abilitare i blocchi degli account amministratore locale predefiniti. Questo criterio è disponibile in Criteri computer locali\Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri di blocco account.
Per i computer esistenti, l'impostazione di questo valore su Abilitato tramite un oggetto Criteri di gruppo locale o di dominio consente di bloccare l'account amministratore locale predefinito. Tali ambienti devono anche valutare la possibilità di impostare gli altri tre criteri in Criteri di blocco account. La nostra raccomandazione è di impostarli su 10/10/10. Questo significa che un account viene bloccato dopo 10 tentativi non riusciti entro 10 minuti e il blocco dura 10 minuti. In seguito, l'account verrà sbloccato automaticamente.
Nota Il nuovo comportamento di blocco influisce solo sugli accessi di rete, ad esempio i tentativi RDP. Gli accessi della console saranno comunque consentiti durante il periodo di blocco.
Per i nuovi computer in Windows 11, versione 22H2 o nei nuovi computer che includono gli aggiornamenti cumulativi di Windows dell'11 ottobre 2022 prima della configurazione iniziale, queste impostazioni verranno impostate per impostazione predefinita durante l'installazione del sistema. Ciò si verifica quando viene creata per la prima volta un'istanza del database SAM in un nuovo computer. Pertanto, se è stato configurato un nuovo computer e in seguito sono stati installati gli aggiornamenti di ottobre, non sarà sicuro per impostazione predefinita. Saranno necessarie le impostazioni dei criteri come descritto in precedenza. Se non si desidera che questi criteri vengano applicati al nuovo computer, è possibile impostare questo criterio locale o creare criteri di gruppo per applicare l'impostazione Disabilitato per "Consenti blocco account amministratore".
Inoltre, stiamo applicando la complessità delle password nel nuovo computer se viene usato un account amministratore locale predefinito. La password deve avere almeno due dei tre tipi di carattere di base, ovvero minuscoli, maiuscoli e numerali. Ciò contribuirà a proteggere ulteriormente questi account da essere compromessi a causa di un attacco di forza bruta. Tuttavia, se si vuole usare una password meno complessa, è comunque possibile impostare i criteri appropriati per le password in Criteri computer locali\Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri password.
Altre informazioni
Le modifiche aggiunte supportano il contrassegno DOMAIN_LOCKOUT_ADMINS e DOMAIN_PASSWORD_COMPLEX per l'account amministratore locale predefinito. Per altre informazioni, vedere DOMAIN_PASSWORD_INFORMATION (ntsecapi.h).
|
Valore |
Significato |
|
DOMAIN_LOCKOUT_ADMINS 0x00000008L |
Consente all'account amministratore locale predefinito di essere bloccato dagli accessi di rete. |
|
DOMAIN_PASSWORD_COMPLEX 0x00000001L |
La password deve contenere almeno due dei seguenti tipi di caratteri:
|
