Kopsavilkums
Brute force attacks are one of the top three ways that Windows computers are attacked today. Tomēr Windows ierīces pašlaik neļauj bloķēt iebūvētos lokālos administratoru kontus. Tiek izveidoti scenāriji, kuros bez pareiza tīkla segmentācijas vai ielaušanās noteikšanas pakalpojuma klātbūtnes var tikt pakļauts neierobežoti neskaitāmi ļaunprātīgi uzbrukumi, lai mēģinātu noteikt paroli. To var paveikt, izmantojot attālās darbvirsmas protokolu (RDP) tīklā. Ja paroles nav garas vai sarežģītas, šāda uzbrukuma veikšanai nepieciešamais laiks kļūst aizvien sarežģītāks, izmantojot modernus PROCESORus un GPU.
Lai novērstu turpmākus piespiedu uzbrukumus, mēs ieviešam kontu bloķēšanas kontus. Sākot ar 2022. gada 11. oktobri vai jaunāku Windows kumulatīvo atjauninājumu, būs pieejama lokālā politika, lai iespējotu iebūvēto lokālā administratora kontu lokautu. Šī politika ir atrodama sadaļā Lokālā datora politika\Datora konfigurācija\Windows iestatījumi\Drošības iestatījumi\Konta politikas\Konta bloķēšanas politikas.
Esošiem datoriem, iestatot šo vērtību uz Iespējots, izmantojot lokālo vai domēnu GPO, tiek sniegta iespēja bloķēt iebūvēto lokālā administratora kontu. Šādā vidē ir jāņem vērā arī iespēja iestatīt pārējās trīs politikas sadaļā Konta bloķēšanas politikas. Mūsu bāzes ieteikums ir iestatīt tos uz 10.10.10. Tas nozīmē, ka konts tiks bloķēts pēc 10 neveiksmīgiem mēģinājumiem 10 minūšu laikā, un lokauts ilgst 10 minūtes. Pēc tam konts tiks atbloķēts automātiski.
Piezīme Jaunā lokauta darbība ietekmē tikai tīkla pieteikšanos, piemēram, RDP mēģinājumus. Konsoles pieteikšanās laiks bloķēšanas periodā joprojām būs atļauts.
Jauniem datoriem ar Windows 11, 22H2 versiju vai jauniem datoriem, kuros ir 2022. gada 11. oktobris, Windows kumulatīvie atjauninājumi pirms sākotnējās iestatīšanas, šie iestatījumi sistēmas iestatīšanā tiks iestatīti pēc noklusējuma. Tas notiek, kad SAM datu bāze pirmo reizi tiek instalēta jaunā datorā. Tātad, ja tika iestatīts jauns dators un vēlāk bija instalēti oktobra atjauninājumi, pēc noklusējuma tas nebūs drošs. Tai būs nepieciešami iepriekš aprakstītie politikas iestatījumi. Ja nevēlaties, lai šīs politikas neattiecas uz savu jauno datoru, varat iestatīt šo lokālo politiku vai izveidot grupas politiku, lai lietotu iestatījumu Atspējots iestatījumam "Atļaut administratora konta lokautu".
Turklāt tagad mēs piesakām paroļu sarežģītību jaunajā datorā, ja tiek izmantots iebūvēts lokālā administratora konts. Parolē jābūt vismaz diviem no trim pamata rakstzīmju veidiem (mazie burti, lielie burti un cipari). Tas palīdzēs vēl vairāk aizsargāt šos kontus pret apdraudējumiem piespiedu uzbrukuma dēļ. Taču, ja vēlaties izmantot mazāk sarežģītu paroli, atbilstošās paroļu politikas joprojām varat iestatīt lokālā datora politikā\Datora konfigurācija \Windows iestatījumi\Drošības iestatījumi\Konta politikas\Paroļu politika.
Papildinformācija
Pievienotās izmaiņas atbalsta DOMAIN_LOCKOUT_ADMINS un DOMAIN_PASSWORD_COMPLEX karodziņu iebūvētajam lokālā administratora kontam. Papildinformāciju skatiet rakstā DOMAIN_PASSWORD_INFORMATION (ntsecapi.h).
|
Vērtība |
Nozīme |
|
DOMAIN_LOCKOUT_ADMINS 0x00000008L |
Ļauj bloķēt iebūvēto lokālā administratora kontu, izmantojot tīkla pieteikšanos. |
|
DOMAIN_PASSWORD_COMPLEX 0x00000001L |
Parolē ir jābūt vismaz divām no šīm rakstzīmēm:
|
