负责操作系统安全与大型企业的微软副总裁david weston周四(7/21)通过twitter宣布,微软已于windows 11 22h2 22528.1000版本中把账号锁住原则(account lockout policy)列为默认值,以降低远程桌面协议(remote desktop protocol,rdp)与其它暴力破解密码的相关攻击。该默认功能不仅支持之后的版本,也将回溯至之前的windows版本。
图片来源/微软
预计于今年下半年推出的windows 11 22h2目前仍在预览阶段,因此参与windows测试人员计划(windows insider program)的用户得以率先取得该功能。
当account lockout policy成为默认值之后,只要有人在10分钟之内执行10次的登录错误,该账号就会被锁住。
weston表示,这将有助于缓解rdp与其它暴力破解密码攻击,该技术经常被应用在人为操作的勒索软件攻击中,新的控制将提高暴力破解的难度。
图片来源/微软
《bleepingcomputer》在2020年曾引用联邦调查局(fbi)特别干员joel decapua的分析指出,勒索软件黑客入侵受害系统的首选就是rdp,有超过7成的勒索软件攻击行动通过rdp。
rdp允许个人通过网络控制远程计算机上的资源与资料,在创建远程桌面连接时,本地端及远程机器必须借由用户名与密码来进行身份验证,一旦密码被破解,黑客即可远程部署勒索软件或其它恶意程序。
其实windows操作系统的本机群组原则(local group policy)早就具备account lockout policy选项,还允许用户设置账户锁住的阈值,或是锁住的时间,只是它们并非默认值,需要用户手动激活。