مایکروسافت قابلیت جدیدی را برای تمامی نسخه های ویندوز تحت ساپورت خود، ارائه نموده است که عملیات brute-force برای به دست آوردن رمزعبور اکانتهای ادمین محلی را برای مهاجمان دشوارتر می کند.
این قابلیت جدید بدین معناست که دستگاههای ویندوز در حال حاضر می توانند اکانتهای ادمین های محلی را قفل نمایند، کاری که تا پیش از به روز رسانی این ماه مایکروسافت، مقدور نبود. اما در این به روز رسانی ها مجموعه ای از سیاست های جدید قفل اکانت ادمین اضافه شده است.(به روز رسانی های امنیتی سه شنبه های ماه اکتبر 2022).
زمانی که امکان قفل اکانت ادمین محلی نباشد، مهاجمان می توانند با تلاشهای نامحدود اقدام به پیدا کردن رمزعبور صحیح، نمایند. هر چه رمزعبور کوتاه و ساده تر باشد، مهاجم سریعتر به آن دست پیدا می کند.
به گفته مایکروسافت، مهاجمان می توانند از پروتکل دسترسی از راه دور دسکتاپ (RDP) روی یک شبکه استفاده کنند. این پروتکل اغلب توسط مهاجمان باج افزاری نیز برای دسترسی به سیستم، هدف حمله قرار می گیرد.
” 11 اکتبر 2022 و بعد از آن، در به روز رسانی های تجمیعی ویندوز یک سیاست محلی در دسترس قرار گرفت که قفل اکانت مدیریت محلی را فعال نموده است.
این سیاست را می توانید در مسیر Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policies مشاهده نمایید.”
این قابلیت شامل 4 مورد تنظیمات است: Reset account lockout counter after، All Administrator account lockout، All Administrator account lockout وAccount lockout duration.
مایکروسافت به سازمانها توصیه می کند که این قابلیت را فعال نموده و سه مورد از آن را به صورت 10/10/10 تنظیم کنند، به این معنی که بعد از 10 تلاش ناموفق در 10 دقیقه اکانت به مدت 10 دقیقه قفل خواهد شد و بعد از این زمان به صورت خودکار مجددا اکانت باز می شود.
این قابلیت به صورت پیش فرض، روی ویندوز 11 نسخه 22H2 و همینطور ویندوزهایی که شامل آپدیت های این ماه مایکروسافت بوده و نصب شوند، وجود دارد. مایکروسافت اشاره کرده ویندوزهایی که از قبل نصب شده و این به روز رسانی را دیرتر دریافت کرده اند به صورت پیش فرض امن نشده اند و باید تنظیمات مذکور را اضافه کنند.
همچنین روی دستگاههای جدید که اکانت مدیریت محلی استفاده می شود، مایکروسافت سیاست اجبار به استفاده از رمزعبورهای پیچیده را پیاده سازی می کند.
ضمنا یک برنامه مدیریت برای اکتیو دایرکتوری در به روز رسانی سه شنبه این ماه نیز وجود دارد که کامپیوتر را در استفاده مجددا از اکانت از طریق اتصال دامنه، چنانچه اتصال شونده مجوزهای متناسب با اکانت را نداشته باشد، محدود می کند. این مورد مربوط به وصله Directory elevation of privilege flaw – CVE-2022-38042 منتشر شده در این ماه می باشد که تغییر دامنه را دشوارتر می کند.
علاوه بر چنین قابلیت هایی که صورت پیش فرض وجود دارد، محصولات مکملی نیز هستند که در این زمینه کمک شایانی به سازمانها می کنند به عنوان مثال محصول ESET Secure Authentication با قابلیت احراز هویت دو عاملی امکان ورود به سیستم ها را محدود و کنترل می کند.
منبع:
