Zhrnutie
Hrubá sila útoky sú jedným z prvých troch spôsobov, ako počítače s Windowsom sú napadnuté dnes. Zariadenia s Windowsom však momentálne nepovoľujú uzamknutie vstavaných lokálnych kont správcu. Tým sa vytvoria scenáre, v ktorých bez správnej segmentácie siete alebo prítomnosti služby zisťovania vniknutia môže byť vstavané lokálne konto správcu vystavené neobmedzeným útokom hrubou silou, aby sa pokúsilo zistiť heslo. Môžete to urobiť pomocou protokolu RDP (Remote Desktop Protocol) cez sieť. Ak heslá nie sú dlhé alebo zložité, čas, ktorý by trvalo vykonať takýto útok sa stáva triviálne pomocou moderných procesorov a GPU.
V snahe zabrániť ďalším útokom hrubou silou implementujeme uzamknutia kont pre kontá správcu. Od 11. októbra 2022 alebo novších kumulatívnych aktualizácií Windowsu bude k dispozícii lokálna politika na povolenie uzamknutia vstavaných lokálnych kont správcu. Túto politiku nájdete v časti Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policies.
V prípade existujúcich počítačov nastavenie tejto hodnoty na hodnotu Povolené pomocou lokálneho objektu gpo alebo domény umožní uzamknutie vstavaného lokálneho konta správcu. V takýchto prostrediach by sa mali zvážiť aj ďalšie tri politiky v rámci politík uzamknutia kont. Naším základným odporúčaním je nastaviť ich na 10/10/10. Znamená to, že konto bude uzamknuté po 10 neúspešných pokusoch do 10 minút a uzamknutie bude trvať 10 minút. Potom sa konto automaticky odomkne.
Poznámka Nové správanie uzamknutia ovplyvňuje iba prihlásenia do siete, ako sú napríklad pokusy RDP. Prihlásenia konzoly budú naďalej povolené počas obdobia uzamknutia.
Pre nové počítače Windows 11, verziu 22H2 alebo akékoľvek nové počítače, ktoré obsahujú kumulatívne aktualizácie Windowsu z 11. októbra 2022 pred počiatočným nastavením, sa tieto nastavenia predvolene nastavia pri nastavení systému. Stáva sa to pri prvom vytvorení inštancie databázy SAM v novom počítači. Takže ak bol nastavený nový počítač a neskôr boli nainštalované aktualizácie z októbra, predvolene nebude zabezpečený. Bude vyžadovať nastavenie politiky, ako je popísané vyššie. Ak nechcete, aby sa tieto politiky vzťahovali na nový počítač, môžete nastaviť túto lokálnu politiku alebo vytvoriť skupinovú politiku, ktorá použije vypnuté nastavenie "Povoliť uzamknutie konta správcu".
Okrem toho teraz vynucujeme zložitosť hesla v novom počítači, ak sa použije vstavané lokálne konto správcu. Heslo musí mať aspoň dva z troch základných typov znakov (malé, veľké a číslice). To pomôže ďalej chrániť tieto účty pred zneužité z dôvodu hrubej sily útoku. Ak však chcete použiť menej zložité heslo, môžete aj naďalej nastaviť príslušné politiky hesiel v časti Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy.
Ďalšie informácie
Pridané zmeny podporujú príznak DOMAIN_LOCKOUT_ADMINS a DOMAIN_PASSWORD_COMPLEX pre vstavané lokálne konto správcu. Ďalšie informácie nájdete v DOMAIN_PASSWORD_INFORMATION (ntsecapi.h).
|
Hodnota |
Zmysle |
|
DOMAIN_LOCKOUT_ADMINS 0x00000008L |
Umožňuje uzamknutie vstavaného lokálneho konta správcu z prihlásení do siete. |
|
DOMAIN_PASSWORD_COMPLEX 0x00000001L |
Heslo musí obsahovať kombináciu aspoň dvoch z nasledujúcich typov znakov:
|
