Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Kontosperrung: Microsoft sperrt Passwort-Tester aus

Mit den Betriebssystem-Updates von Microsoft im Oktober rüstet das Unternehmen eine länger erwünschte Funktion nach. Sie soll vor Brute-Force-Angriffen auf lokale Administratorkonten schützen, die Microsoft zufolge heutzutage eine der häufigsten eingesetzten Angriffsarten auf Windows-Maschinen sind.

Problemstelle lokaler Administratorzugang​

Da sich lokale Administratorkonten nicht blockieren ließen, könnten diese zum Ziel unbegrenzter Brute-Force-Angriffe zum Ausprobieren des Passworts werden. Zumindest, sofern keine anderweitige ordentliche Netzwerksegmentierung oder Intrusion-Detection-Dienst davor schützen. Solche Angriffe lassen sich mittels RDP über das Netzwerk ausführen. Sofern die Passwörter nicht lang oder komplex seien, würde die Zeit für solch einen Angriff mit modernen CPUs und GPUs "trivial werden".

Du musst angemeldet sein, um Bilder zu sehen.

Nach Klick auf das Start-Symbol führt die Eingabe von "Gruppenrichtlinie bearbeiten" zum Gruppenrichtlinieneditor. Dort ist die neue Regel "Kontosperrungsrichtlinien" zu finden.
(Bild: Screenshot)

Um künftig derartige Brute-Force-Angriffe zu unterbinden, haben die Entwickler Kontosperrungen für Administratorkonten implementiert, wie sie in einem Microsoft-Knowledgebase-Eintrag ausführen. Mit den Updates vom 11. Oktober 2022 oder neueren kumulativen Windows-Updates rüstet der Hersteller eine lokale Richtlinie nach, mit der sich lokale Administratorkontensperrungen aktivieren lassen. Diese Richtlinie finden Administratoren im Gruppenrichtlinieneditor unter "Richtlinie für Lokaler Computer / Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Kontorichtlinien / Kontosperrungsrichtlinien".
Microsoft erläutert, dass das Aktivieren der Einstellung auf vorhandenen Maschinen mittels lokaler oder Domain-Gruppenrichtlinie die neue Funktion scharfstellt. In diesen Umgebungen sollten Administratoren die drei weiteren Richtlinien unter Kontosperrungsrichtlinien ebenfalls mit sinnvollen Werten bestücken. Der Hersteller schlägt als Grundeinstellung 10/10/10 vor. Das bedeutet, dass ein Konto nach zehn Log-in-Fehlversuchen in zehn Minuten für zehn Minuten gesperrt wird. Nach dem Zeitraum hebt Windows den Bann automatisch wieder auf.

Automatisch aktiv​

Für neue Maschinen mit Windows 11 22H2 oder allen Geräten, die das kumulative Oktober-2022-Windows-Update vor dem initialen Einrichten installiert haben, trägt Microsoft diese Werte als Standard ein. Das findet beim ersten Instanziieren der SAM-Datenbank statt. Auf diesen neuen Maschinen forciert Microsoft ab jetzt zudem eine Mindest-Passwortkomplexität, sofern ein lokaler Administratorzugang genutzt wird. Das Passwort muss dann mindestens drei von vier Zeichen-Typen umfassen – Kleinbuchstaben, Großbuchstaben, Zahlen und Symbole. Dies verbessere den Schutz vor Kompromittierung aufgrund von Brute-Force-Attacken.

Mit den entsprechenden Gruppenrichtlinien können Administratoren jedoch die Einstellungen jedoch auch wieder auf andere Anforderungen umstellen. Diese Änderungen betreffen alle derzeit unterstützen Windows-Versionen von Windows 7 bis Server 2022. Einen ähnlichen Failban-Mechanismus hat Microsoft kürzlich für den Windows-SMB-Server von Windows Server und Windows Desktop-Versionen in der Windows-Update-Vorschau eingeführt.
Quelle: heise
 
Zurück
Oben