Özet
Deneme yanılma saldırıları, Windows bilgisayarlarının bugün saldırıya uğramasının ilk üç yoludur. Ancak, Windows cihazları şu anda yerleşik yerel Yönetici hesaplarının kilitlenmesine izin vermiyor. Bu, uygun ağ segmentasyonu veya yetkisiz erişim algılama hizmeti olmadan yerleşik yerel Yönetici hesabının parolayı belirlemeye çalışmak için sınırsız deneme yanılma saldırılarına maruz kalabileceği senaryolar oluşturur. Bu, ağ üzerinden Uzak Masaüstü Protokolü (RDP) kullanılarak yapılabilir. Parolalar uzun veya karmaşık değilse, modern CPU'lar ve GPU'lar kullanılarak böyle bir saldırının gerçekleştirilmesi için gereken süre önemsiz hale gelmektedir.
Daha fazla deneme yanılma saldırısını önlemek amacıyla Yönetici hesapları için hesap kilitlemeleri uyguluyoruz. 11 Ekim 2022 veya sonraki Windows toplu güncelleştirmelerinden başlayarak, yerleşik yerel Yönetici hesabı kilitlemelerini etkinleştirmek için yerel bir ilke kullanıma sunulacaktır. Bu ilke Yerel Bilgisayar İlkesi\Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Hesap İlkeleri\Hesap Kilitleme İlkeleri altında bulunabilir.
Mevcut bilgisayarlar için, bu değerin Yerel veya etki alanı GPO'sunun kullanılarak Etkin olarak ayarlanması, yerleşik yerel Yönetici hesabını kilitleme olanağı sağlar. Bu tür ortamlar, Hesap Kilitleme İlkeleri altında diğer üç ilkeyi ayarlamayı da göz önünde bulundurmalıdır. Temel önerimiz bunları 10/10/10 olarak ayarlamaktır. Bu, bir hesabın 10 dakika içinde 10 başarısız denemeden sonra kilitlendiği ve kilitlemenin 10 dakika süreceği anlamına gelir. Bundan sonra hesabın kilidi otomatik olarak açılır.
Not Yeni kilitleme davranışı yalnızca RDP denemeleri gibi ağ oturum açmalarını etkiler. Kilitleme süresi boyunca konsol oturumlarına izin verilir.
İlk kurulumdan önce Windows 11, sürüm 22H2 veya 11 Ekim 2022, Windows toplu güncelleştirmelerini içeren tüm yeni bilgisayarlar için, bu ayarlar sistem kurulumunda varsayılan olarak ayarlanır. Bu, SAM veritabanı yeni bir bilgisayarda ilk kez başlatıldığında oluşur. Bu nedenle, yeni bir bilgisayar ayarlandıysa ve ekim güncelleştirmeleri daha sonra yüklendiyse, varsayılan olarak güvenli olmaz. Daha önce açıklandığı gibi ilke ayarlarını gerektirir. Bu ilkelerin yeni bilgisayarınıza uygulanmasını istemiyorsanız, bu yerel ilkeyi ayarlayabilir veya "Yönetici hesabı kilitlenmesine izin ver" için Devre Dışı ayarını uygulamak üzere bir grup ilkesi oluşturabilirsiniz.
Ayrıca, yerleşik bir yerel Yönetici hesabı kullanılıyorsa artık yeni bilgisayarda parola karmaşıklığını zorunluyoruz. Parolanın üç temel karakter türünden (küçük harf, büyük harf ve rakam) en az iki tane olması gerekir. Bu, deneme yanılma saldırısı nedeniyle bu hesapların gizliliğinin tehlikeye atılmasına karşı daha fazla korumaya yardımcı olur. Ancak, daha az karmaşık bir parola kullanmak istiyorsanız, Yerel Bilgisayar İlkesi\Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Hesap İlkeleri\Parola İlkesi'nde uygun parola ilkelerini ayarlayabilirsiniz.
Daha fazla bilgi
Eklenen değişiklikler, yerleşik yerel Yönetici hesabı için DOMAIN_LOCKOUT_ADMINS ve DOMAIN_PASSWORD_COMPLEX bayrağını destekler. Daha fazla bilgi için bkz. DOMAIN_PASSWORD_INFORMATION (ntsecapi.h).
|
Değer |
Anlamı |
|
DOMAIN_LOCKOUT_ADMINS 0x00000008L |
Yerleşik yerel Yönetici hesabının ağ oturumlarından kilitlenmesine izin verir. |
|
DOMAIN_PASSWORD_COMPLEX 0x00000001L |
Parola, aşağıdaki karakter türlerinden en az ikisine sahip olmalıdır:
|
