Sign in with Microsoft
Sign in or create an account.

摘要

強力攻擊是 Windows 電腦現今三大攻擊方式之一。 不過,Windows 裝置目前不允許鎖定內建的本機系統管理員帳戶。 這會建立在沒有適當網路區段或是否有入侵偵測服務的情況下,內建的本機系統管理員帳戶可能會遭受無限的強力攻擊,以嘗試判斷密碼。 這可以透過網路使用遠端桌面通訊協定 (RDP) 來完成。 如果密碼長度不長或不復雜,則使用新式 CPU 和 GPU 來執行這類攻擊所花費的時間會變得愈長。 

為了防止進一步的強力攻擊,我們針對系統管理員帳戶實作帳戶鎖定。 從 2022 年 10 月 11 日或更新版本的 Windows 累積更新開始,將會有一個可啟用內建本機系統管理員帳戶鎖定的本機原則。 您可以在本機電腦原則\電腦設定\Windows 設定\安全性設定\帳戶原則\帳戶鎖定原則下找到此原則。

允許系統管理員帳戶鎖定

對於現有電腦,使用本機或網域 GPO 將此值設定為 [啟用 ] 將可讓您鎖定內建的本機系統管理員帳戶。 這類環境也應該考慮在 [帳戶鎖定原則] 底下設定其他三個原則。 我們的比較基準建議是將它們設定為 2010/10/10。 這表示在 10 分鐘內嘗試 10 次失敗之後,帳戶會遭到鎖定,而鎖定會持續 10 分鐘。 之後,帳戶就會自動解除鎖定。

注意 新的鎖定行為只會影響網路記錄,例如 RDP 嘗試。 主機登入仍然會在鎖定期間允許。

對於 Windows 11、版本 22H2 上的新電腦,或包含 2022 年 10 月 11 日 Windows 累積更新的任何新電腦,在初始設定之前,這些設定預設會在系統設定時設定。 當 SAM 資料庫第一次在新電腦上即時化時,就會發生這種情況。 因此,如果新電腦已設定完成,之後又安裝了 10 月更新,則預設不會安全。 它會需要如先前所述的原則設定。 如果您不希望這些原則套用到您的新電腦,您可以設定此本機原則或建立群組原則,以套用「允許系統管理員帳戶鎖定」的停用設定。

此外,如果使用內建的本機系統管理員帳戶,我們現在會在新電腦上強制執行密碼複雜度。 密碼必須至少有三種基底字元類型的兩個, (小寫、大寫和數位) 。 這有助於進一步保護這些帳戶,避免因遭受強力攻擊而遭盜用。 不過,如果您想要使用較不復雜的密碼,您仍然可以在 本機電腦原則\電腦設定\Windows 設定\安全性設定\帳戶原則\密碼原則中設定適當的密碼原則。

詳細資訊

新增的變更支援內建本機系統管理員帳戶的 DOMAIN_LOCKOUT_ADMINS和DOMAIN_PASSWORD_COMPLEX 標幟。 如需詳細資訊,請 參閱 ntsecapi.h) DOMAIN_PASSWORD_INFORMATION (

價值

意義

DOMAIN_LOCKOUT_ADMINS

0x00000008L

允許內建的本機系統管理員帳戶從網路記錄檔鎖定。

DOMAIN_PASSWORD_COMPLEX

0x00000001L

密碼必須包含至少下列兩種類型的字元:

  • 大寫字元

  • 小寫字元

  • 數位

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

How satisfied are you with the translation quality?
What affected your experience?

Thank you for your feedback!

×