Povzetek
Napadi brute force so eden od treh najpomembnejših načinov, kako so danes napadli računalnike s sistemom Windows. Vendar pa naprave s sistemom Windows trenutno ne dovoljujejo, da bi bili vgrajeni lokalni skrbniški računi zaklenjeni. To ustvari scenarije, v katerih lahko brez ustrezne segmentacije omrežja ali prisotnosti storitve zaznavanja vdorov, vgrajen lokalni skrbniški račun, povzročijo neomejeno število napadov na silo, ki poskušajo določiti geslo. To lahko naredite s protokolom oddaljenega namizja (RDP) prek omrežja. Če gesla niso dolga ali zapletena, je čas, ki bi ga trajalo, da se takšen napad izvede, z uporabo sodobnih CPE-ji in GPU-ji postal trivialni.
V prizadevanju, da bi preprečili nadaljnje grobe napade na silo, smo veljati zaklenitev računa za skrbniške račune. Od 11. oktobra 2022 ali novejše zbirne posodobitve sistema Windows bo na voljo lokalni pravilnik za omogočanje zaklenitev lokalnega skrbniškega računa. Ta pravilnik najdete v razdelku Lokalni pravilnik računalnika\Konfiguracija računalnika\Nastavitve sistema Windows\Varnostne nastavitve\Pravilniki računa\Pravilniki za zaklepanje računa.
Če za obstoječe računalnike to vrednost nastavite na Omogočeno z lokalnim predmetom pravilnika skupin ali predmetom pravilnika skupin domene, lahko zaklenete vgrajeni lokalni skrbniški račun. V takšnih okoljih bi bilo treba tudi razmisliti o nastavitvi drugih treh pravilnikov v razdelku Pravilniki za zaklenitev računa. Naše izhodiščno priporočilo je, da jih nastavite na 10/10/10. To pomeni, da bi bil račun zaklenjen po 10 neuspešnih poskusih v roku 10 minut, zaklenitev pa bi trajala 10 minut. Po tem bi bil račun odklenjen samodejno.
Opomba Novo zaklenitev vpliva le na prijave v omrežje, kot so poskusi protokola RDP. Prijave v konzoli bodo še vedno dovoljene med obdobjem zaklenitev.
Za nove računalnike v Windows 11, različica 22H2, ali katere koli nove računalnike, ki vsebujejo 11. oktober 2022, zbirne posodobitve sistema Windows pred začetno namestitvijo, bodo te nastavitve privzeto nastavljene pri nastavitvi sistema. Do tega pride, ko zbirko podatkov SAM prvič ustvarite v novem računalniku. Če je bil torej nastavljen nov računalnik, nato pa je bil oktobrske posodobitve nameščen pozneje, to ne bo privzeto varno. Potrebujete nastavitve pravilnika, kot je opisano zgoraj. Če ne želite, da ti pravilniki veljajo za vaš novi računalnik, lahko nastavite ta lokalni pravilnik ali ustvarite pravilnik skupine, da uporabite nastavitev Onemogočeno za »Dovoli zaklepanje skrbniškega računa«.
Poleg tega smo zdaj vsilili zapletenost gesla v novem računalniku, če je uporabljen vgrajeni lokalni skrbniški račun. Geslo mora imeti vsaj dva od treh osnovnih znakov (male, velike in številske). Tako boste še bolj zaščitili te račune pred zlorabami zaradi napada na grobo silo. Če pa želite uporabiti manj zapleteno geslo, lahko še vedno nastavite ustrezne pravilnike za gesla v pravilniku lokalnega računalnika\Konfiguracija računalnika\Nastavitve sistema Windows\Varnostne nastavitve\Pravilniki računa\Pravilniki za gesla.
Več informacij
Dodane spremembe podpirajo DOMAIN_LOCKOUT_ADMINS in DOMAIN_PASSWORD_COMPLEX za vgrajeni lokalni skrbniški račun. Če želite več informacij, glejte DOMAIN_PASSWORD_INFORMATION (ntsecapi.h).
|
Vrednost |
Smislu |
|
DOMAIN_LOCKOUT_ADMINS 0x00000008L |
Omogoča, da je vgrajen lokalni skrbniški račun zaklenjen pred omrežnimi prijavami. |
|
DOMAIN_PASSWORD_COMPLEX 0x00000001L |
Geslo mora imeti kombinacijo najmanj dveh od teh vrst znakov:
|
