Kontosperrung: Microsoft sperrt Passwort-Tester aus
Zitat von mpachmann am 21. Oktober 2022, 9:20 UhrDie Windows-Updates zum Oktober-Patchday haben auch eine neue Funktion mitgebracht. Sie sperrt lokale Administratorkonten bei fehlerhaften Log-in-Versuchen.
https://www.heise.de/news/Brute-Force-Angriffe-Microsoft-ruestet-Schutzmechanismus-nach-7306276.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag
Mit den Betriebssystem-Updates von Microsoft im Oktober rüstet das Unternehmen eine länger erwünschte Funktion nach. Sie soll vor Brute-Force-Angriffen auf lokale Administratorkonten schützen, die Microsoft zufolge heutzutage eine der häufigsten eingesetzten Angriffsarten auf Windows-Maschinen sind.
Problemstelle lokaler Administratorzugang
Da sich lokale Administratorkonten nicht blockieren ließen, könnten diese zum Ziel unbegrenzter Brute-Force-Angriffe zum Ausprobieren des Passworts werden. Zumindest, sofern keine anderweitige ordentliche Netzwerksegmentierung oder Intrusion-Detection-Dienst davor schützen. Solche Angriffe lassen sich mittels RDP über das Netzwerk ausführen. Sofern die Passwörter nicht lang oder komplex seien, würde die Zeit für solch einen Angriff mit modernen CPUs und GPUs "trivial werden".
Um künftig derartige Brute-Force-Angriffe zu unterbinden, haben die Entwickler Kontosperrungen für Administratorkonten implementiert, wie sie in einem Microsoft-Knowledgebase-Eintrag ausführen. Mit den Updates vom 11. Oktober 2022 oder neueren kumulativen Windows-Updates rüstet der Hersteller eine lokale Richtlinie nach, mit der sich lokale Administratorkontensperrungen aktivieren lassen. Diese Richtlinie finden Administratoren im Gruppenrichtlinieneditor unter "Richtlinie für Lokaler Computer / Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Kontorichtlinien / Kontosperrungsrichtlinien".
Microsoft erläutert, dass das Aktivieren der Einstellung auf vorhandenen Maschinen mittels lokaler oder Domain-Gruppenrichtlinie die neue Funktion scharfstellt. In diesen Umgebungen sollten Administratoren die drei weiteren Richtlinien unter Kontosperrungsrichtlinien ebenfalls mit sinnvollen Werten bestücken. Der Hersteller schlägt als Grundeinstellung 10/10/10 vor. Das bedeutet, dass ein Konto nach zehn Log-in-Fehlversuchen in zehn Minuten für zehn Minuten gesperrt wird. Nach dem Zeitraum hebt Windows den Bann automatisch wieder auf.
Automatisch aktiv
Für neue Maschinen mit Windows 11 22H2 oder allen Geräten, die das kumulative Oktober-2022-Windows-Update vor dem initialen Einrichten installiert haben, trägt Microsoft diese Werte als Standard ein. Das findet beim ersten Instanziieren der SAM-Datenbank statt. Auf diesen neuen Maschinen forciert Microsoft ab jetzt zudem eine Mindest-Passwortkomplexität, sofern ein lokaler Administratorzugang genutzt wird. Das Passwort muss dann mindestens drei von vier Zeichen-Typen umfassen – Kleinbuchstaben, Großbuchstaben, Zahlen und Symbole. Dies verbessere den Schutz vor Kompromittierung aufgrund von Brute-Force-Attacken.
Mit den entsprechenden Gruppenrichtlinien können Administratoren jedoch die Einstellungen jedoch auch wieder auf andere Anforderungen umstellen. Diese Änderungen betreffen alle derzeit unterstützen Windows-Versionen von Windows 7 bis Server 2022. Einen ähnlichen Failban-Mechanismus hat Microsoft kürzlich für den Windows-SMB-Server von Windows Server und Windows Desktop-Versionen in der Windows-Update-Vorschau eingeführt.
Die Windows-Updates zum Oktober-Patchday haben auch eine neue Funktion mitgebracht. Sie sperrt lokale Administratorkonten bei fehlerhaften Log-in-Versuchen.
Mit den Betriebssystem-Updates von Microsoft im Oktober rüstet das Unternehmen eine länger erwünschte Funktion nach. Sie soll vor Brute-Force-Angriffen auf lokale Administratorkonten schützen, die Microsoft zufolge heutzutage eine der häufigsten eingesetzten Angriffsarten auf Windows-Maschinen sind.
Problemstelle lokaler Administratorzugang
Da sich lokale Administratorkonten nicht blockieren ließen, könnten diese zum Ziel unbegrenzter Brute-Force-Angriffe zum Ausprobieren des Passworts werden. Zumindest, sofern keine anderweitige ordentliche Netzwerksegmentierung oder Intrusion-Detection-Dienst davor schützen. Solche Angriffe lassen sich mittels RDP über das Netzwerk ausführen. Sofern die Passwörter nicht lang oder komplex seien, würde die Zeit für solch einen Angriff mit modernen CPUs und GPUs "trivial werden".
Um künftig derartige Brute-Force-Angriffe zu unterbinden, haben die Entwickler Kontosperrungen für Administratorkonten implementiert, wie sie in einem Microsoft-Knowledgebase-Eintrag ausführen. Mit den Updates vom 11. Oktober 2022 oder neueren kumulativen Windows-Updates rüstet der Hersteller eine lokale Richtlinie nach, mit der sich lokale Administratorkontensperrungen aktivieren lassen. Diese Richtlinie finden Administratoren im Gruppenrichtlinieneditor unter "Richtlinie für Lokaler Computer / Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Kontorichtlinien / Kontosperrungsrichtlinien".
Microsoft erläutert, dass das Aktivieren der Einstellung auf vorhandenen Maschinen mittels lokaler oder Domain-Gruppenrichtlinie die neue Funktion scharfstellt. In diesen Umgebungen sollten Administratoren die drei weiteren Richtlinien unter Kontosperrungsrichtlinien ebenfalls mit sinnvollen Werten bestücken. Der Hersteller schlägt als Grundeinstellung 10/10/10 vor. Das bedeutet, dass ein Konto nach zehn Log-in-Fehlversuchen in zehn Minuten für zehn Minuten gesperrt wird. Nach dem Zeitraum hebt Windows den Bann automatisch wieder auf.
Automatisch aktiv
Für neue Maschinen mit Windows 11 22H2 oder allen Geräten, die das kumulative Oktober-2022-Windows-Update vor dem initialen Einrichten installiert haben, trägt Microsoft diese Werte als Standard ein. Das findet beim ersten Instanziieren der SAM-Datenbank statt. Auf diesen neuen Maschinen forciert Microsoft ab jetzt zudem eine Mindest-Passwortkomplexität, sofern ein lokaler Administratorzugang genutzt wird. Das Passwort muss dann mindestens drei von vier Zeichen-Typen umfassen – Kleinbuchstaben, Großbuchstaben, Zahlen und Symbole. Dies verbessere den Schutz vor Kompromittierung aufgrund von Brute-Force-Attacken.
Mit den entsprechenden Gruppenrichtlinien können Administratoren jedoch die Einstellungen jedoch auch wieder auf andere Anforderungen umstellen. Diese Änderungen betreffen alle derzeit unterstützen Windows-Versionen von Windows 7 bis Server 2022. Einen ähnlichen Failban-Mechanismus hat Microsoft kürzlich für den Windows-SMB-Server von Windows Server und Windows Desktop-Versionen in der Windows-Update-Vorschau eingeführt.