摘要
暴力攻击是目前 Windows 计算机受到攻击的三种前三种方式之一。 但是,Windows 设备目前不允许锁定内置的本地管理员帐户。 这会创建一些方案:如果没有适当的网络分段或存在入侵检测服务,内置的本地管理员帐户可能会受到无限制的暴力攻击,以尝试确定密码。 这可以通过通过网络使用远程桌面协议 (RDP) 来完成。 如果密码不长或不复杂,则使用新式 CPU 和 GPU 执行此类攻击所需的时间将变得微不足道。
为了防止进一步的暴力攻击,我们正在为管理员帐户实施帐户锁定。 从 2022 年 10 月 11 日或更高版本的 Windows 累积更新开始,将提供本地策略来启用内置的本地管理员帐户锁定。 可以在本地计算机策略\计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略下找到此策略。
对于现有计算机,使用本地或域 GPO 将此值设置为 “启用 ”将提供锁定内置本地管理员帐户的功能。 此类环境还应考虑在帐户锁定策略下设置其他三个策略。 我们的基线建议将它们设置为 10/10/10。 这意味着帐户将在 10 分钟内 10 次尝试失败后被锁定,锁定将持续 10 分钟。 之后,帐户将自动解锁。
注意 新的锁定行为仅影响网络登录,例如 RDP 尝试。 在锁定期间,仍允许控制台登录。
对于Windows 11、版本 22H2 或任何新计算机(包括 2022 年 10 月 11 日、初始设置前的 Windows 累积更新)的新计算机,这些设置将在系统设置中默认设置。 首次在新计算机上实例化 SAM 数据库时,会发生这种情况。 因此,如果设置了一台新计算机,然后在以后安装了 10 月更新,则默认情况下它将不安全。 它将需要前面所述的策略设置。 如果不希望这些策略应用于新计算机,可以设置此本地策略或创建组策略,以应用“允许管理员帐户锁定”的“ 禁用 ”设置。
此外,如果使用内置的本地管理员帐户,我们现在在新计算机上强制实施密码复杂性。 密码必须至少有三种基本字符类型中的两种 (小写、大写和数字) 。 这将有助于进一步保护这些帐户免受暴力攻击的入侵。 但是,如果要使用不太复杂的密码,仍然可以在 本地计算机策略\计算机配置\Windows 设置\安全设置\帐户策略\密码策略中设置相应的密码策略。
详细信息
添加的更改支持内置本地管理员帐户 的DOMAIN_LOCKOUT_ADMINS和DOMAIN_PASSWORD_COMPLEX 标志。 有关详细信息,请 参阅DOMAIN_PASSWORD_INFORMATION (ntsecapi.h)。
|
值 |
含义 |
|
DOMAIN_LOCKOUT_ADMINS 0x00000008L |
允许将内置的本地管理员帐户从网络登录中锁定。 |
|
DOMAIN_PASSWORD_COMPLEX 0x00000001L |
密码必须至少包含以下两种类型的字符:
|
