Microsoft在Windows 11中添加了针对RDP暴力攻击的默认保护

作为Windows 11操作系统最新版本的一部分，微软正在采取措施防止远程桌面协议（RDP）暴力攻击，试图提高安全基线，以应对不断变化的威胁形势。

为此，Windows 11的默认策略将生成，特别是，Insider Preview构建了22528.1000和更新版本，将在10次无效登录尝试后自动锁定帐户10分钟。

“Win11版本现在有一个默认的帐户锁定策略，以缓解RDP和其他暴力密码向量，”微软负责操作系统安全和企业的副总裁David Weston上周在一系列推文中表示。“这种技术在人工操作的勒索软件和其他攻击中非常常用——这种控制将使暴力强迫变得更加困难，这太棒了！”

值得一提的是，虽然此帐户锁定设置已经包含在Windows 10中，但它在默认情况下未启用。

该功能是在该公司决定恢复阻止Office文档的Visual Basic应用程序（VBA）宏之后开发的，预计也将被后移植到旧版本的Windows和Windows Server。

除了恶意宏之外，暴力强制RDP访问一直是威胁参与者获取对Windows系统的未经授权访问的最常用方法之一。

LockBit是2022年最活跃的勒索软件团伙之一，通常依赖RDP作为初始立足点和后续活动。其他使用相同机制的家庭包括康提、蜂巢、PYSA、Crysis、SamSam和Dharma。

Zscaler去年指出：“暴力强迫RDP是威胁参与者试图访问Windows系统并执行恶意软件的最常见方法”。

“威胁参与者扫描个公开开放的RDP端口以进行分布式暴力攻击。使用弱凭据的系统很容易成为目标，一旦受到攻击，攻击者就会将黑网络上被黑客攻击系统的访问权卖给其他网络罪犯”。

尽管如此，微软在其文档中警告说，滥用帐户锁定阈值策略设置可能会策划潜在的拒绝服务（DoS）攻击。

该公司指出：“恶意用户可以通过编程对组织中的所有用户进行一系列密码攻击”。“如果尝试次数大于帐户锁定阈值，攻击者可能会锁定每个帐户”。