Microsoft-ova zakrpa od utorka uvodi novu proceduru koja dozvoljava zaključavanje naloga administratora.
Kompanija Microsoft je uvela novu mogućnost za sve podržane verzije operativnog sistema Windows koja će hakerima otežati da izvode napade pogađanja lozinki grubom silom na naloge lokalnih administratora.
Nova funkcija znači da Windows uređaji sada mogu da zaključavaju lokalne administratorske naloge, što Windows uređajima nije bilo dozvoljeno sve dok ažuriranje zakrpa u utorak nije uvelo novi skup smernica za zaključavanje naloga administratora.
Kada lokalni administratorski nalozi ne mogu da se zaključaju sa Windows uređaja, napadači mogu da ciljaju nalog neograničenim brojem pokušaja dok ne pogode pravu lozinku. U tim napadima najbrže stradaju one lozinke koje su jednostavne i kratke. Kao što Microsoft primećuje, takav napad može da se izvrši korišćenjem protokola udaljene radne površine (remote desktop protocol – RDP) preko mreže. RDP je funkcija koja je često na meti napadača koji pokušavaju da dobiju pristup sistemima, a kad uspeju, od žrtava traže otkup da bi im dozvolili ponovi pristup.
„Počevši od kumulativnih ažuriranja za Windows od 11. oktobra 2022. godine ili novijih, lokalne smernice će biti dostupne da bi se omogućilo zaključavanje naloga lokalnog administratora. Te smernice se mogu pronaći u odeljku Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policies“, objašnjava kompanija u napomeni o podršci za KB5020282.
Procedura zaključavanja naloga ima četiri podešavanja: Reset account lockout counter after; All Administrator account lockout; Account lockout threshold i Account lockout duration (Resetujte brojač zaključavanja naloga posle; Zaključavanje svih administratorskih naloga; Prag za zaključavanje naloga i Trajanje blokade naloga). Osnovna preporuka kompanije je da organizacije treba da omoguće zaključavanje naloga administratora, a preostala tri podese na 10/10/10, što znači da će nalog biti zaključan nakon 10 neuspešnih pokušaja u roku od 10 minuta i da zaključavanje traje 10 minuta. Posle toga, nalog se automatski otključava.
To je podrazumevano podešavanje za Windows 11, verzija 22H2, kao i za čisto instalirane uređaje koji uključuju kumulativna ažuriranja za Windows od 11. oktobra 2022. godine pre instaliranja. Kompanija napominje da uređaj na kojem je instaliran sistem, a onda kasnije instalirana ažuriranja za oktobar, ne bi bio podrazumevano bezbedan i da mu treba eksplicitno dodati postavke smernica. Administratori takođe mogu da primene onemogućeno podešavanje za allow administrator account lockout (dozvoli zaključavanje naloga administratora).
Takođe, na novim uređajima na kojima se koristi nalog lokalnog administratora, Microsoft sada zahteva da lozinka bude komplikovanija i da ima „najmanje tri od četiri osnovna tipa znakova (mala slova, velika slova, brojeve i simbole)“.
Iz kompanije ističu da je Microsoft-ova zakrpa od utorka ograničila ponovnu upotrebu naloga računara putem pridruživanja domenu ako onaj koji se pridružuje domenu nema odgovarajuća prava na nalog. To je još jedan element Microsoft-ovog nastojanja da Windows bude „podrazumevano bezbedan“ i odnosi se na grešku u povećanju privilegija za Active Directory – CVE-2022-38042 – kojom se bavilo ažuriranje od 11. oktobra, uz značajnije promene u procesu pridruživanja domenu.
U septembru je kompanija uvela podrazumevano ograničavanje brzine kako bi Windows 11 uređaji postali „veoma neprivlačna meta“ za hakere koji pokušavaju da ukradu akreditive.