Resumo
Ataques de força bruta são uma das três principais maneiras pelas quais os computadores Windows são atacados hoje. No entanto, os dispositivos Windows atualmente não permitem que contas de administrador locais internas sejam bloqueadas. Isso cria cenários em que, sem a segmentação de rede adequada ou a presença de um serviço de detecção de intrusão, a conta interna do Administrador local pode ser submetida a ataques de força bruta ilimitados para tentar determinar a senha. Isso pode ser feito usando o RDP (Protocolo de Área de Trabalho Remota) na rede. Se as senhas não forem longas ou complexas, o tempo necessário para executar tal ataque está se tornando trivial usando CPUs e GPUs modernas.
Em um esforço para evitar novos ataques de força bruta, estamos implementando bloqueios de conta para contas de administrador. A partir das atualizações cumulativas do Windows de 11 de outubro de 2022 ou posteriores, uma política local estará disponível para habilitar bloqueios internos da conta de administrador local. Essa política pode ser encontrada em Política de Computador Local\Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Políticas de Bloqueio de Conta.
Para computadores existentes, definir esse valor como Habilitado usando um GPO local ou de domínio fornecerá a capacidade de bloquear a conta de administrador local interna. Esses ambientes também devem considerar a configuração das outras três políticas em Políticas de Bloqueio de Conta. Nossa recomendação de linha de base é defini-los como 10/10/10. Isso significa que uma conta seria bloqueada após 10 tentativas com falha em 10 minutos e o bloqueio duraria 10 minutos. Depois disso, a conta será desbloqueada automaticamente.
Observação O novo comportamento de bloqueio afeta apenas logons de rede, como tentativas de RDP. Logons de console ainda serão permitidos durante o período de bloqueio.
Para novos computadores no Windows 11, versão 22H2 ou em qualquer novo computador que inclua as atualizações cumulativas do Windows de 11 de outubro de 2022 antes da configuração inicial, essas configurações serão definidas por padrão na configuração do sistema. Isso ocorre quando o banco de dados SAM é instanciado pela primeira vez em um novo computador. Portanto, se um novo computador foi configurado e depois tiver as atualizações de outubro instaladas posteriormente, ele não será seguro por padrão. Isso exigirá as configurações da política, conforme descrito anteriormente. Se você não quiser que essas políticas se apliquem ao seu novo computador, você poderá definir essa política local ou criar uma política de grupo para aplicar a configuração desabilitada para "Permitir bloqueio da conta do administrador".
Além disso, agora estamos aplicando a complexidade de senha em um novo computador se uma conta de administrador local interna for usada. A senha deve ter pelo menos dois dos três tipos de caracteres básicos (minúsculas, maiúsculas e numerais). Isso ajudará a proteger ainda mais essas contas de serem comprometidas devido a um ataque de força bruta. No entanto, se você quiser usar uma senha menos complexa, ainda poderá definir as políticas de senha apropriadas em Política de Computador Local\Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Políticas de Senha.
Mais informações
As alterações adicionadas dão suporte ao sinalizador DOMAIN_LOCKOUT_ADMINS e DOMAIN_PASSWORD_COMPLEX para a conta interna do Administrador local. Para obter mais informações, consulte DOMAIN_PASSWORD_INFORMATION (ntsecapi.h).
|
Valor |
Significado |
|
DOMAIN_LOCKOUT_ADMINS 0x00000008L |
Permite que a conta interna do Administrador local seja bloqueada de logons de rede. |
|
DOMAIN_PASSWORD_COMPLEX 0x0000001L |
A senha deve ter uma combinação de pelo menos dois dos seguintes tipos de caracteres:
|
