Rezumat
Atacurile brute force sunt unul dintre primele trei moduri în care computerele Windows sunt atacate astăzi. Totuși, dispozitivele Windows nu permit în prezent blocarea conturilor de administrator locale încorporate. Acest lucru creează scenarii în care, fără segmentarea corespunzătoare a rețelei sau prezența unui serviciu de detectare a intruziunilor, contul de administrator local încorporat poate fi supus unor atacuri nelimitate cu forță brută, pentru a încerca să determine parola. Acest lucru se poate face utilizând Protocol Remote Desktop (RDP) prin rețea. În cazul în care parolele nu sunt lungi sau complexe, timpul necesar pentru a efectua un astfel de atac este de a deveni banal prin utilizarea cpu-uri moderne și GPU-uri.
Într-un efort de a preveni alte atacuri brute force, implementăm blocările conturilor pentru conturile de administratori. Începând cu actualizările cumulative Windows din 11 octombrie 2022 sau mai recente, va fi disponibilă o politică locală pentru a activa blocările locale încorporate ale conturilor de administrator. Această politică poate fi găsită în Politica locală a computerului\Configurație computer\Setări Windows\Setări de securitate\Politici cont\Politici de blocare cont.
Pentru computerele existente, setarea acestei valori la Activat utilizând un GPO local sau de domeniu va oferi capacitatea de a bloca contul de administrator local încorporat. Astfel de medii ar trebui, de asemenea, să ia în considerare setarea celorlalte trei politici în conformitate cu Politicile de blocare a contului. Recomandarea noastră de referință este să le setați la 10.10.2010. Acest lucru înseamnă că un cont ar fi blocat după 10 încercări nereușite în termen de 10 minute și blocarea ar dura 10 minute. După aceea, contul va fi deblocat automat.
Notă Noul comportament de blocare afectează doar conectările la rețea, cum ar fi încercările RDP. Conectări la consolă vor fi permise în continuare în timpul perioadei de blocare.
Pentru computerele noi de pe Windows 11, versiunea 22H2 sau orice computere noi care includ actualizările cumulative Windows din 11 octombrie 2022 înainte de configurarea inițială, aceste setări vor fi setate implicit la configurarea sistemului. Acest lucru se întâmplă atunci când baza de date SAM este instanțiată pentru prima dată pe un computer nou. Așadar, dacă un computer nou a fost configurat și apoi a avut actualizările din octombrie instalate mai târziu, acesta nu va fi securizat în mod implicit. Aceasta va necesita setările de politică așa cum s-a descris anterior. Dacă nu doriți ca aceste politici să se aplice la computerul nou, puteți să setați această politică locală sau să creați o politică de grup pentru a aplica setarea Dezactivat pentru "Se permite blocarea contului de administrator".
În plus, acum impunem complexitatea parolei pe un computer nou, dacă se utilizează un cont de administrator local încorporat. Parola trebuie să aibă cel puțin două dintre cele trei tipuri de caractere de bază (litere mici, majuscule și cifre). Acest lucru va ajuta la protejarea în continuare aceste conturi de a fi compromise din cauza unui atac brute force. Cu toate acestea, dacă doriți să utilizați o parolă mai puțin complexă, puteți seta în continuare politicile corespunzătoare pentru parole în Politica locală a computerului\Configurație computer\Setări Windows\Setări de securitate\Politici cont\Politica pentru parole.
Mai multe informații
Modificările adăugate acceptă semnalizarea DOMAIN_LOCKOUT_ADMINS și DOMAIN_PASSWORD_COMPLEX pentru contul de administrator local încorporat. Pentru mai multe informații, consultați DOMAIN_PASSWORD_INFORMATION (ntsecapi.h).
|
Valoare |
Sensul |
|
DOMAIN_LOCKOUT_ADMINS 0x00000008L |
Permite ca un cont de administrator local încorporat să fie blocat de la conectărilor la rețea. |
|
DOMAIN_PASSWORD_COMPLEX 0x00000001L |
Parola trebuie să aibă un amestec de cel puțin două dintre următoarele tipuri de caractere:
|
