KB5020282—Có sẵn khóa tài khoản cho người quản trị cục bộ tích hợp sẵn

Tóm tắt

Tấn công bằng vũ lực mạnh là một trong ba cách hàng đầu mà các máy tính Windows bị tấn công ngày hôm nay. Tuy nhiên, các thiết bị Windows hiện không cho phép khóa tài khoản Người quản trị cục bộ được tích hợp sẵn. Điều này tạo ra các kịch bản trong đó, không có phân đoạn mạng thích hợp hoặc sự hiện diện của một dịch vụ phát hiện xâm nhập, tài khoản người quản trị nội bộ được xây dựng trong có thể bị tấn công vũ lực không giới hạn để cố gắng xác định mật khẩu. Điều này có thể được thực hiện bằng cách sử dụng Giao thức Máy tính Từ xa (RDP) qua mạng. Nếu mật khẩu không dài hoặc phức tạp, thời gian cần thiết để thực hiện một cuộc tấn công như vậy đang trở nên tầm thường bằng cách sử dụng CPU và GPU hiện đại. 

Trong nỗ lực ngăn chặn các cuộc tấn công mạnh bạo hơn nữa, chúng tôi đang thực hiện khóa tài khoản cho các tài khoản quản trị viên. Bắt đầu từ ngày 11 tháng 10 năm 2022 hoặc các bản cập nhật tích lũy Windows mới hơn, chính sách cục bộ sẽ có sẵn để bật khóa tài khoản Người quản trị cục bộ được tích hợp sẵn. Bạn có thể tìm thấy chính sách này trong Chính sách Máy tính Cục bộ\Cấu hình Máy tính\Cài đặt Windows\Cài đặt Bảo mật\Chính sách Tài khoản\Chính sách Khóa Tài khoản.

Đối với các máy tính hiện có, việc đặt giá trị này thành Bật bằng cách sử dụng GPO cục bộ hoặc miền sẽ cung cấp khả năng khóa tài khoản người quản trị cục bộ được tích hợp sẵn. Các môi trường như vậy cũng nên cân nhắc việc đặt ba chính sách khác trong Chính sách Khóa Tài khoản. Đề xuất ban đầu của chúng tôi là đặt chúng thành 10/10/10. Điều này có nghĩa là tài khoản sẽ bị khóa sau 10 lần thử không thành công trong vòng 10 phút và khóa sẽ kéo dài trong 10 phút. Sau đó, tài khoản sẽ tự động được mở khóa.

Lưu ý Hành vi khóa mới chỉ ảnh hưởng đến đăng nhập mạng, chẳng hạn như lần thử RDP. Đăng nhập bảng điều khiển sẽ vẫn được cho phép trong thời gian khóa.

Đối với các máy tính mới trên Windows 11, phiên bản 22H2 hoặc bất kỳ máy tính mới nào bao gồm bản cập nhật tích lũy Windows ngày 11 tháng 10 năm 2022 trước khi thiết lập ban đầu, các cài đặt này sẽ được đặt theo mặc định tại thiết lập hệ thống. Điều này xảy ra khi cơ sở dữ liệu SAM được khởi tạo lần đầu trên một máy tính mới. Vì vậy, nếu một máy tính mới đã được thiết lập và sau đó đã cài đặt các bản cập nhật tháng 10, nó sẽ không được bảo mật theo mặc định. Quy trình này sẽ yêu cầu cài đặt chính sách như được mô tả ở phần trước. Nếu bạn không muốn các chính sách này áp dụng cho máy tính mới của mình, bạn có thể đặt chính sách cục bộ này hoặc tạo một chính sách nhóm để áp dụng cài đặt Đã vô hiệu hóa cho "Cho phép khóa tài khoản người quản trị".

Ngoài ra, chúng tôi hiện đang áp dụng độ phức tạp của mật khẩu trên máy tính mới nếu tài khoản người quản trị nội bộ được tích hợp sẵn được sử dụng. Mật khẩu phải có ít nhất hai trong số ba loại ký tự cơ bản (chữ thường, chữ hoa và số). Điều này sẽ giúp bảo vệ thêm các tài khoản này khỏi bị xâm phạm do tấn công bằng vũ lực mạnh. Tuy nhiên, nếu muốn sử dụng mật khẩu ít phức tạp hơn, bạn vẫn có thể đặt các chính sách mật khẩu thích hợp trong Chính sách Máy tính Cục bộ\Cấu hình Máy tính \Cài đặt Windows\Cài đặt Bảo mật\Chính sách Tài khoản\Chính sách Mật khẩu.