Разработчики пересмотрели политики безопасности в последних версиях Windows 11 в сторону их ужесточения. Отныне автоматическая блокировка учетных записей в системе включена по умолчанию. После 10 безуспешных попыток пользователя войти в аккаунт, введя неправильный пароль, Windows устроит ему 10-минутный «тайм-аут» с деактивацией учетной записи. Причем подвергнуться такому «наказанию» сможет и администратор.
Нововведение реализовано при помощи манипуляций с групповыми политиками – никакой новой функциональности Microsoft в Windows 11 в данном случае не привнесла. Администраторы смогут как полностью отключить автоблокировку, так и настроить ее параметры при помощи встроенного в ОС редактора локальной групповой политики (gpedit.msc). Нужные политики следует искать по адресу «Конфигурация компьютера»->«Конфигурация Windows»->«Параметры безопасности»-> «Политики учетных записей»->«Политика блокировки учетной записи».
Изменение представлено в сборке 22528.1000 и из нее перекочевало в более новые. Пока она распространяется исключительно на участников программы предварительного тестирования Windows Insider, к которой Microsoft закрыла россиянам доступ в конце июня 2022 г. Новшество станет доступным широкому кругу пользователей с выходом одного из будущих обновлений. Рядовые владельцы ПК под управлением Windows 11 на его появление, вероятно, даже не обратят внимание.
Закрыть популярнейший вектор атаки
Как пояснил в Twitter Дэвид Уэстон (David Weston), вице-президент Microsoft по безопасности предприятий и ОС, цель нововведения – усилить защиту пользователей Windows 11 от брутфорс-атак по протоколу RDP (Remote Desktop Protocol, протокол удаленного рабочего стола).
Брутфорс (от англ. brute force – грубая сила) – это способ взлома учетной записи методом подбора паролей к ней. Перебор возможных паролей может, в частности, производится автоматически и с использованием предварительно составленного словаря наиболее распространенных кодовых фраз.
RDP – принадлежащий Microsoft протокол для обеспечения удаленного доступа пользователя к компьютеру.
По словам Уэстона, новшество значительно усложнит злоумышленникам процедуру подбора пароля. Введение 10-минутных пауз, которые необходимо переждать, прежде чем попробовать очередные 10 паролей, действительно способно затянуть процедуру до неприличия и вынудить взломщика искать иную точку входа в сеть или вовсе переключить внимание на другую, более простую цель.
Согласно данным Федерального бюро расследований (ФБР) США, по состоянию на 2020 г. около 70-80% всех успешных атак на компьютерные сети с целью заражения вымогательским ПО осуществлялось по протоколу RDP.
В апреле 2021 г. на популярной хакерской торговой площадке UAS в даркнете были выложены логины и пароли более 1,3 млн серверов, доступных извне по протоколу RDP.
Microsoft усиливает безопасность
Политика автоматической блокировки учетной записи (Account Lockout Policy) доступна и в Windows 10, однако не является активной по умолчанию. Администратору потребуется самолично ее включить, если это уже не было сделано ранее. Не исключено, что, зафиксировав положительный результат пересмотра групповых политик в Windows 11, редмондцы включат блокировку аккаунтов по умолчанию и в «десятке».
Так, настройки по умолчанию популярного пакета офисных приложений Microsoft Office в апреле 2022 г. тоже подверглись пересмотру. В частности, пользователям целенаправленно усложнили запуск встроенных в документы VBA-макросов, запретив их автоматическое исполнение по умолчанию. Макросы часто используются злоумышленниками для внедрения вредоносных программ на ПК через фишинговые сообщения. Ограничение их бесконтрольного выполнения, по мнению специалистов из Microsoft, положительно скажется на защищенности машин с установленным Office.
Пользователи не оценили заботу компании об их безопасности, и Microsoft, опираясь на отзывы аудитории, сперва отказалась от блокировки макросов, но в июле 2022 г. вернулась к первоначальному плану.