Win11 版本现在具有默认账户锁定策略,以缓解 RDP 和其他暴力密码攻击,此策略是常规的防护手段,在Win 11之前都需要人为调整策略,以满足等级保护关于账户安全要求
![Windows 11 新默认账户锁定策略可满足等保要求]( "Windows 11 新默认账户锁定策略可满足等保要求")
最近的 Windows 11 版本默认启用帐户锁定策略,以防止远程桌面协议 (RDP) 和其他类型的暴力攻击。
蛮力攻击通常依靠自动化工具为一个或多个用户账户尝试大量密码,并且经常被用作勒索软件和其他类型恶意攻击的一部分。
从 Insider Preview 版本 22528.1000 开始,Windows 11 现在默认缓解此类攻击,方法是将失败的登录尝试次数限制为 10 次,持续 10 分钟。
微软企业和操作系统安全副总裁大卫韦斯顿周四表示,Win11 版本现在有一个默认帐户锁定策略,以减轻 RDP 和其他暴力密码向量。这种技术在人为操作的勒索软件和其他攻击中非常常用——这种控制将使暴力破解变得更加困难,在以往我们则要收到调整该策略。
IT 安全团队已经可以选择使用账户锁定策略来防止暴力攻击,方法是将阈值设置为 1 到 999 次失败的登录尝试,将触发用户帐户被锁定。也就是回归到Win 11之前版本的默认状态。
微软方面建议将账户锁定持续时间设置为最长 15 分钟,并将账户锁定阈值设置为足够高的值,以防止用户意外输入密码。
微软解释说:“在将其重置或账户锁定持续时间策略设置指定的分钟数到期之前,无法使用锁定的账户。”
账户锁定策略也适用于 Windows 10,Weston 表示也正在向后移植到 Windows Server 版本。
通过限制尝试输入账户密码的次数,蛮力攻击的有效性会大大降低,但微软警告说,威胁者可能会滥用此安全功能来发起拒绝服务 (DoS) 攻击,通过锁定多个/企业中的所有用户账户。RDP 是去年勒索软件攻击中使用的三大初始感染媒介之一,此外还有网络钓鱼和软件漏洞。
在攻击中使用 RDP 的勒索软件系列包括Conti、Hive、Cuba、PYSA、Egregor、NetWalker和Ranzy Locker等。
本周,微软还宣布已恢复在 Office 中推出宏阻止功能,该功能可防止通过文档附件进行网络钓鱼和恶意软件传播。
原文始发于微信公众号(祺印说信安):Windows 11 新默认账户锁定策略可满足等保要求
评论