A Microsoft ma bejelentette, hogy az informatikai rendszergazdák mostantól beállíthatják a biztonsági frissítéseket továbbra is megkapó Windows rendszereket, hogy automatikusan blokkolják a helyi rendszergazdai fiókokat célzó brute force támadásokat egy csoportházirend segítségével.

A Microsoft azért adta hozzá ezt a házirendet, mert azt állítják, hogy a Windows jelenleg nem alkalmaz fiókzárolási házirendeket a „helyi rendszergazdákra”, lehetővé téve a fenyegetés szereplői számára, hogy ismételten brutálisan erőszakkal kényszerítsék ki a jelszavakat ezekhez a fiókokhoz.

"A Windows-eszközök azonban jelenleg nem teszik lehetővé a helyi rendszergazdák kizárását." - Microsoft.

A bejelentés azután történt, hogy David Weston, a Microsoft vállalati és operációsrendszer-biztonsági alelnöke júliusban azt mondta, hogy ugyanaz a Windows-csoportházirend már alapértelmezés szerint engedélyezve van a legújabb Windows 11 buildeken.

Ennek eredményeként azok a Windows 11 rendszerek, ahol a házirend be van kapcsolva, 10 percen belül 10 sikertelen bejelentkezési kísérlet után 10 percre automatikusan zárolja a felhasználói fiókokat (beleértve a rendszergazdai fiókokat is).

“A Win11 buildek ALAPÉRTELMEZETT fiókzárolási szabályzattal rendelkeznek az RDP és más brute force jelszóvektorok mérséklésére” – írta július 21-én a Twitteren.

“Ezt a technikát nagyon gyakran használják az ember által működtetett zsarolóvírusok és más támadások során – ez a vezérlés sokkal nehezebbé teszi a nyers erőltetést, ami félelmetes!”

Ma, majdnem három hónappal Weston bejelentése után, a Microsoft felfedte, hogy ugyanaz a fiókzárolási szabályzat már minden olyan Windows rendszeren elérhető, amelyen a 2022. októberi összesített frissítések telepítve vannak.

“A további brutális erők elleni támadások/kísérletek megakadályozása érdekében fiókzárolást vezetünk be a rendszergazdai fiókoknál” – közölte ma a Microsoft.

“A 2022. október 11-i vagy újabb Windows összesített frissítéseitől kezdve elérhető lesz a helyi házirend, amely lehetővé teszi a helyi rendszergazdai fiókok kizárását.”

Azok a rendszergazdák, akik szeretnék bekapcsolni ezt a kiegészítő védelmet a brutális erőszak elleni támadások ellen, megtalálhatják a “Rendszergazdai fiók kizárásának engedélyezése” házirendet a Helyi számítógépházirend\Számítógép-konfiguráció\Windows-beállítások\Biztonsági beállítások\Fiókházirendek\Fiókzárolási szabályzatok alatt.

Ez a csoportházirend alapértelmezés szerint engedélyezve lesz minden új, Windows 11 22H2 rendszert futtató gépen, vagy azokon, amelyekre a 2022. októberi összesített Windows-frissítéseket a kezdeti beállítás előtt telepítették, amikor a felhasználók jelszavait tároló Security Account Manager (SAM) adatbázist először példányosítják az új gépet.

A Microsoft azt is bejelentette, hogy a helyi rendszergazdai fiókoknak mostantól összetett jelszavakat kell használniuk, amelyeknek “a négy alapvető karaktertípus közül legalább háromnak (kisbetűk, nagybetűk, számok és szimbólumok) kell rendelkezniük”.

Ezt a döntést a brute force támadásokkal szembeni extra védelemként hozták, amelyek triviálisak a modern CPU-kkal és GPU-kkal rendelkező rendszerek használatával, ha a jelszavak nem elég hosszúak vagy bonyolultak.

Redmond lassan csökkenti a zsarolóvírus-üzemeltetők által a Windows rendszerek feltörése érdekében visszaélt támadási felületet, amint azt a közelmúltbeli döntései is mutatják, amelyek szerint automatikusan blokkolják az Office makrókat a letöltött dokumentumokban, és kikényszerítik a többtényezős hitelesítést (MFA) az Azure AD-ben.

Október 12-i frissítés, 10:24 EDT: Világosabbá tette, hogy a Microsoft szerint a Windows nem alkalmazott zárolási házirendeket a „helyi rendszergazdákra” a változás előtt.