Systémoví správcovia a všetci používatelia systému Windows teraz môžu blokovať útoky hrubou silou na lokálnom počítači Účet správcu. Predtým táto funkcia nebola k dispozícii pre vstavaný účet správcu a ktokoľvek mohol zadať nesprávne prihlasovacie údaje pre tento účet, koľkokrát chcel, a dostať sa z toho.
Útok hrubou silou je technika pokus-omyl používaná na uhádnutie poverení a prihlásenie do systému. Spoločnosť Microsoft však teraz všetkým pridala skupinovú politiku Verzie systému Windows s názvom “Povoliť uzamknutie účtu správcu“, čo je zásada uzamknutia účtu platná pre miestny účet správcu.
Predtým bola táto politika dostupná iba pre Windows 11. Teraz je to však dostupné pre všetky verzie, vrátane Windows 10. Okrem toho je teraz táto politika predvolene povolená.
To znamená, že ak ste nakonfigurovali zásadu „Práh uzamknutia účtu“ a máte nesprávne poverenia zadané v rovnakom čase, účet sa zablokuje a používateľ nebude môcť zadať viac poverenia.
Poďme teraz diskutovať o politike do hĺbky a uvidíme, ako ju nakonfigurovať.
Čo je GPO „Povoliť uzamknutie účtu správcu“?
"Povoliť uzamknutie účtu správcu” politika bola skôr pridaná iba do systému Windows 11, ale nedávno bola integrovaná aj do iných verzií.
Povolením tejto skupinovej politiky sa miestne konto správcu (ak je povolené) automaticky uzamkne na nastavený čas po stanovenom počte neúspešných pokusov o prihlásenie v rámci nastaveného času.
Používame slovo „set“, pretože tieto hodnoty sú konfigurovateľné. V predvolenom nastavení sa administrátorské konto zablokuje na 10 minút, ak do 10 minút zadáte uvedený počet nesprávnych pokusov. Tieto hodnoty sú však premenlivé.
Zásadu skupiny „Povoliť uzamknutie účtu správcu“ nájdete na nasledujúcej ceste v editore skupinovej politiky:
Local Compter Policy >> Computer Configuration >> Windows Settings >> Security Settings >> Account Policies >> Account Lockout Policy
Teraz vám ukážeme, ako nakonfigurovať túto politiku, aby bol váš počítač v bezpečí pred útokmi hrubou silou a neoprávneným vzdialeným prihlásením.
Ako nakonfigurovať politiku uzamknutia účtu správcu v systéme Windows
Ak budete pokračovať a pokúsite sa nakonfigurovať zásadu „Povoliť uzamknutie účtu správcu“, zistíte, že možnosti sú sivé (keď sa nevykonáva žiadna iná konfigurácia.)
Je to preto, že táto zásada závisí od zásady „Hranice uzamknutia účtu“, ktorú je potrebné najskôr nakonfigurovať. Jeho predvolená hodnota je „0“, čo znamená, že politika uzamknutia účtu je zakázaná.
Okrem toho 2 ďalšie GPO pracujú v koherencii na vytvorení politiky uzamknutia účtu správcu. Tu sú podrobnosti o týchto pravidlách:
-
Trvanie uzamknutia účtu
Čas (v minútach), kedy sa používateľ nebude môcť znova prihlásiť, a to ani so správnymi prihlasovacími údajmi.
Rozsah: 0-99 999 minút.
-
Prahová hodnota uzamknutia účtu
Definuje, koľko pokusov bude zablokované konto správcu a nebudú povolené žiadne ďalšie pokusy o prihlásenie.
Rozsah: 0-999
-
Povoliť uzamknutie účtu správcu
Či bude účet správcu zablokovaný alebo nie.
-
Potom vynulujte počítadlo uzamknutia účtu
Definuje počet minút, ktoré musia uplynúť po neúspešnom pokuse o prihlásenie, kým sa počítadlo neúspešných pokusov o prihlásenie vynuluje na 0 chybných pokusov o prihlásenie.
Rozsah: 1-99 999 minút.
Teraz, keď ste pochopili, na čo slúžia tieto zásady, nakonfigurujte svoj lokálny účet správcu na uzamknutie podľa týchto krokov:
-
Otvorte editor skupinovej politiky zadaním gpedit.msc v poli Spustiť príkaz.
Otvorte editor skupinovej politiky -
Teraz prejdite na nasledujúce z ľavého panela:
Local Compter Policy >> Computer Configuration >> Windows Settings >> Security Settings >> Account Policies >> Account Lockout Policy
-
Teraz dvakrát kliknite na politiku “Prahová hodnota uzamknutia účtu” na pravej table a nastavte počet chybných pokusov, ktoré chcete povoliť, kým sa účet správcu sám uzamkne.
Nastavte prahovú hodnotu uzamknutia účtu Kliknite Použiť a Dobre po dokončení.
-
Teraz sa uistite, že „Povoliť uzamknutie účtu správcu“ je povolená (predvolená hodnota). Ak nie, dvakrát naň kliknite a Povoliť to.
Poznámka: Ak nechcete, aby bol účet správcu zablokovaný, ale chcete iba ostatné účty, nastavte túto zásadu na Zakázané.
Povoliť uzamknutie účtu správcu -
Dvojité kliknutie "Trvanie uzamknutia účtu“ a teraz zadajte čas, na ktorý sa má správca uzamknúť.
Nastavte čas na uzamknutie účtu Kliknite Použiť a Dobre po dokončení.
-
Teraz dvakrát kliknite na „Potom vynulujte počítadlo uzamknutia účtu” a zadajte čas, kedy chcete, aby sa počítadlo prahu vynulovalo na 0.
Poznámka: Táto hodnota by mala byť menšia alebo rovná hodnote pre Trvanie uzamknutia účtu.
Nastavte čas na resetovanie počítadla prahu na 0 Kliknite Použiť a Dobre po dokončení.
-
Teraz, keď sú všetky politiky nakonfigurované, spustite nasledujúci cmdlet v súbore zvýšený príkazový riadok presadzovať nové pravidlá:
GPUpdate /Force
Presadzovať nové skupinové zásady
Váš lokálny administrátorský účet sa teraz automaticky uzamkne a zamietne akékoľvek pokusy o prihlásenie, keď sa vykonajú nesprávne pokusy o prihlásenie, ktoré spĺňajú vaše konfigurácie politiky.
Ak chcete túto funkciu v budúcnosti zakázať, všetko, čo musíte urobiť, je zmeniť hodnotu pre „Prahová hodnota uzamknutia účtu“do 0a všetky ostatné politiky sa automaticky vrátia na predvolené hodnoty.
Záverečná analýza
Mať pridanú vrstvu zabezpečenia je vždy prospešné. Konfiguráciou miestneho účtu správcu na uzamknutie zabránite votrelcom vstúpiť do účtu počítača s najvyššími oprávneniami.
Aj keby útočník uspel a nakoniec by zadal správne heslo, dosiahnutie tohto cieľa by mu teraz trvalo oveľa dlhšie, pretože účet bude na niekoľko minút zablokovaný.
