Suvestinė
Brute force attacks are one of the top three ways that Windows computers are attacked today. Tačiau "Windows" įrenginiai šiuo metu neleidžia užrakinti įtaisytųjų vietinių administratoriaus paskyrų. Taip sukuriami scenarijai, kai be tinkamo tinklo segmentavimo ar įsibrėžimo aptikimo tarnybos įtaisytoji vietinio administratoriaus paskyra gali būti veikiama neribotų brute force atakų, bandant nustatyti slaptažodį. Tai galima padaryti naudojant nuotolinio darbalaukio protokolą (RDP) per tinklą. Jei slaptažodžiai nėra ilgi arba sudėtingi, tokių atakų atlikimo laikas tampa labai smulkmeniškas, naudojant šiuolaikinius CPU ir GPU.
Siekdami išvengti tolesnių brute force atakų, diegiame administratoriaus paskyrų blokavimus. Nuo 2022 m. spalio 11 d. arba vėliau "Windows" kaupiamųjų naujinimų bus galima naudoti vietinę strategiją, kad būtų galima įgalinti įtaisytuosius vietinio administratoriaus paskyros blokavimus. Šią strategiją galima rasti dalyje Vietinio kompiuterio strategija\Kompiuterio konfigūracija\"Windows" parametrai\Saugos parametrai\Paskyros strategijos\Paskyros blokavimo strategijos.
Jei naudosite esamus kompiuterius, nustačius šią reikšmę į Įgalinta naudojant vietinį arba domeno GPO, bus suteikta galimybė užrakinti įtaisytąją vietinio administratoriaus paskyrą. Tokiose aplinkose taip pat reikėtų apsvarstyti galimybę nustatyti kitas tris strategijas dalyje Paskyros blokavimo strategijos. Mūsų pagrindinė rekomendacija yra nustatyti jas į 10/10/10. Tai reiškia, kad paskyra bus užrakinta po 10 nepavykusių bandymų per 10 minučių, o blokavimas truks 10 minučių. Po to paskyra bus atrakinta automatiškai.
Pastaba Naujas blokavimas veikia tik tinklo prisijungimus, pvz., RDP bandymus. Konsolės prisijungimai vis tiek bus leidžiami blokavimo laikotarpiu.
Naujuose kompiuteriuose Windows 11 22H2 versijoje arba bet kuriuose naujuose kompiuteriuose, kuriuose yra 2022 m. spalio 11 d. kaupiamieji "Windows" naujinimai prieš pradinę sąranką, šie parametrai sistemos sąrankoje bus nustatyti pagal numatytuosius parametrus. Taip nutinka, kai SAM duomenų bazė pirmą kartą pradedama kurti naujame kompiuteryje. Taigi, jei naujas kompiuteris buvo nustatytas ir tada spalio naujinimai buvo įdiegti vėliau, pagal numatytuosius parametrus jis nebus saugus. Tam reikės anksčiau aprašytų strategijos parametrų. Jei nenorite, kad šios strategijos būtų taikomos jūsų naujam kompiuteriui, galite nustatyti šią vietinę strategiją arba sukurti grupės strategiją, kad būtų taikomas parametras Išjungta dalyje "Leisti administratoriaus paskyros blokavimas".
Be to, dabar įgaliname slaptažodžio sudėtingumą naujame kompiuteryje, jei naudojama įtaisytoji vietinio administratoriaus paskyra. Slaptažodis turi turėti bent du iš trijų pagrindinių simbolių tipų (mažosios raidės, didžiosios raidės ir skaitmenys). Tai padės toliau apsaugoti šias paskyras nuo kompromisų dėl brute force atakos. Tačiau, jei norite naudoti mažiau sudėtingą slaptažodį, vis tiek galite nustatyti atitinkamas slaptažodžių strategijas dalyje Vietinio kompiuterio strategija\Kompiuterio konfigūracija\"Windows" parametrai\Saugos parametrai\Paskyros strategijos\Slaptažodžių strategija.
Daugiau informacijos
Įtraukti pakeitimai palaiko įtaisytosios vietinio administratoriaus paskyros DOMAIN_LOCKOUT_ADMINS ir DOMAIN_PASSWORD_COMPLEX vėliavėlę. Daugiau informacijos žr. DOMAIN_PASSWORD_INFORMATION (ntsecapi.h).
|
Reikšmė |
Prasme |
|
DOMAIN_LOCKOUT_ADMINS 0x00000008L |
Leidžia užblokuoti įtaisytąjį vietinio administratoriaus abonementą ir neleisti prisijungti prie tinklo. |
|
DOMAIN_PASSWORD_COMPLEX 0x00000001L |
Slaptažodį turi sudaryti bent dviejų iš šių tipų simboliai:
|
