image

Windows beschermt lokale admin-accounts nu ook tegen bruteforce-aanvallen

woensdag 12 oktober 2022, 15:33 door Redactie, 13 reacties

Microsoft heeft aan alle ondersteunde versies van Windows een optie toegevoegd die lokale admin-accounts tegen bruteforce-aanvallen moet beschermen. Volgens Microsoft staan bruteforce-aanvallen in de top drie van meestgebruikte methodes om Windowsmachines aan te vallen. Systeembeheerders kunnen via een lockout policy instellen dat wanneer er teveel mislukte inlogpogingen op een account zijn, het account wordt vergrendeld.

Er was echter geen optie beschikbaar waardoor het account van een lokale systeembeheerder kan worden vergrendeld. Hierdoor is het mogelijk voor aanvallers om via een onbeperkte bruteforce-aanval het wachtwoord van de lokale beheerder te achterhalen. Dit kan zowel via het remote desktop protocol (RDP) als het netwerk. Om het gebruik van bruteforce-aanvallen verder te beperken is er nu ook een account-lockout voor admin-accounts.

Op nieuwe Windows 11-machines met versie 22H2 en de updates van oktober staat deze lockout policy standaard ingeschakeld. Beheerders kunnen de policy indien gewenst wel uitschakelen. Daarnaast stelt Microsoft nu ook eisen aan de complexiteit van het wachtwoord van lokale admin-accounts. Deze wachtwoorden moeten drie van de vier soorten karaktertypes (letter, hoofdletter, cijfer en symbool). Dit moet verdere bescherming tegen bruteforce-aanvallen bieden.

Reacties (13)
12-10-2022, 15:59 door Anoniem
Tuurlijk wat kan er mis gaan het gaat vast niet zorgen voor malware functies waarbij express de localadmin constant in lockout modus gegooid worden terwijl op de achtergrond versleuteling en ransomeware gedraaid wordt.

Doet me denken aan de begintijd van MSN messenger. Waar ze de briliante functie hadden dat je geblokkeerd werdt na X verkeerde login pogingen maar dan op gebruikersnaam en niet IP Dus elke random prankster mits ze gebruikersnaam wisten konden via een tooltje die persoon permanent het leven zuur maken.
12-10-2022, 16:00 door Anoniem
sjonge sjonge sjonge wat een enovatie weer. locale admin accounts die via rdp en netwerk accounts tegen brute-forces te beschermen. is dit 1980 of wat?
12-10-2022, 17:56 door Anoniem
Door Anoniem: sjonge sjonge sjonge wat een enovatie weer. locale admin accounts die via rdp en netwerk accounts tegen brute-forces te beschermen. is dit 1980 of wat?
Windows is inderdaad heel ouderwets.
12-10-2022, 18:02 door Anoniem
Door Anoniem: sjonge sjonge sjonge wat een enovatie weer. locale admin accounts die via rdp en netwerk accounts tegen brute-forces te beschermen. is dit 1980 of wat?
Vermoedelijk bestaat deze feature al een tijdje, echter was deze standaard uitgeschakeld. Backwards compatability = insecure-by-default. Je ziet dat Microsoft het laatste jaar daar steeds meer op terug komt en beveiligingsinstellingen nu actief aan het aanpassen/inschakelen is. Je zag het eerder met Office macro's, Outlook basic authentication en Credential Guard. Welkome stappen, maar vergeet niet dat er nog zo'n 400+ instellingen zijn die je ook wilt aanpassen om veilig te zijn. Ze hebben dus nog behoorlijk wat werk voor je Windows secure-by-default kan noemen.
12-10-2022, 18:53 door Erik van Straten
Door Anoniem: sjonge sjonge sjonge wat een enovatie weer. locale admin accounts die via rdp en netwerk accounts tegen brute-forces te beschermen. is dit 1980 of wat?
Dat was ook mijn gedachte, en op de meest gebruikte windows-versies moet je er ook nog even aan denken om die policy aan te zetten.

Maar ook:
Deze wachtwoorden moeten drie van de vier soorten karaktertypes (letter, hoofdletter, cijfer en symbool). Dit moet verdere bescherming tegen bruteforce-aanvallen bieden.
Welkom!
12-10-2022, 19:29 door Anoniem
Microsoft: Daarnaast stelt Microsoft nu ook eisen aan de complexiteit van het wachtwoord van lokale admin-accounts. Deze wachtwoorden moeten drie van de vier soorten karaktertypes (letter, hoofdletter, cijfer en symbool). Dit moet verdere bescherming tegen bruteforce-aanvallen bieden.

Aardig bedoeld van Microsoft hoor, daar niet van. Maar kun je ook dat uitzetten/aanpassen? Ik bedoel, het is en blijft MIJN computer waarop ik zelf wel bepaal wat wijsheid is. En 'drie van de vier'? Wat is er mis met en entropie-meter die aangeeft wat de verwachtte kraaktijd is? Het is toch geen 1999 meer, toch?
12-10-2022, 23:43 door Anoniem
Door Erik van Straten:
Door Anoniem: sjonge sjonge sjonge wat een enovatie weer. locale admin accounts die via rdp en netwerk accounts tegen brute-forces te beschermen. is dit 1980 of wat?
Dat was ook mijn gedachte, en op de meest gebruikte windows-versies moet je er ook nog even aan denken om die policy aan te zetten.

Maar ook:
Deze wachtwoorden moeten drie van de vier soorten karaktertypes (letter, hoofdletter, cijfer en symbool). Dit moet verdere bescherming tegen bruteforce-aanvallen bieden.
Welkom!
Hey, hoe weet je mijn wachtwoord?
13-10-2022, 00:43 door Erik van Straten
Door Anoniem: Wat is er mis met en entropie-meter die aangeeft wat de verwachtte kraaktijd is?
Vanalles als jouw entropie-meter zegt dat het jaren duurt om "correcthorsebatterystaple" te kraken.
13-10-2022, 08:23 door Anoniem
Door Anoniem:
Door Anoniem: sjonge sjonge sjonge wat een enovatie weer. locale admin accounts die via rdp en netwerk accounts tegen brute-forces te beschermen. is dit 1980 of wat?
Vermoedelijk bestaat deze feature al een tijdje, echter was deze standaard uitgeschakeld. Backwards compatability = insecure-by-default. Je ziet dat Microsoft het laatste jaar daar steeds meer op terug komt en beveiligingsinstellingen nu actief aan het aanpassen/inschakelen is. Je zag het eerder met Office macro's, Outlook basic authentication en Credential Guard. Welkome stappen, maar vergeet niet dat er nog zo'n 400+ instellingen zijn die je ook wilt aanpassen om veilig te zijn. Ze hebben dus nog behoorlijk wat werk voor je Windows secure-by-default kan noemen.

lezuh

"Er was echter geen optie beschikbaar waardoor het account van een lokale systeembeheerder kan worden vergrendeld"
13-10-2022, 09:54 door Anoniem
Door Anoniem:
Door Erik van Straten:
Door Anoniem: sjonge sjonge sjonge wat een enovatie weer. locale admin accounts die via rdp en netwerk accounts tegen brute-forces te beschermen. is dit 1980 of wat?
Dat was ook mijn gedachte, en op de meest gebruikte windows-versies moet je er ook nog even aan denken om die policy aan te zetten.

Maar ook:
Deze wachtwoorden moeten drie van de vier soorten karaktertypes (letter, hoofdletter, cijfer en symbool). Dit moet verdere bescherming tegen bruteforce-aanvallen bieden.
Welkom!
Hey, hoe weet je mijn wachtwoord?
:-) die van mij is en blijft Geheim ;-)
13-10-2022, 14:20 door Anoniem
Door Anoniem:
Door Erik van Straten:
Door Anoniem: sjonge sjonge sjonge wat een enovatie weer. locale admin accounts die via rdp en netwerk accounts tegen brute-forces te beschermen. is dit 1980 of wat?
Dat was ook mijn gedachte, en op de meest gebruikte windows-versies moet je er ook nog even aan denken om die policy aan te zetten.

Maar ook:
Deze wachtwoorden moeten drie van de vier soorten karaktertypes (letter, hoofdletter, cijfer en symbool). Dit moet verdere bescherming tegen bruteforce-aanvallen bieden.
Welkom!
Hey, hoe weet je mijn wachtwoord?

Zucht. Dit soort controles gebeuren altijd en overal op het moment van wijzigen van het wachtwoord. Dat is het enige moment waarop het wachtwoord in clear-text beschikbaar is.
13-10-2022, 14:25 door Anoniem
Door Anoniem: sjonge sjonge sjonge wat een enovatie weer. locale admin accounts die via rdp en netwerk accounts tegen brute-forces te beschermen. is dit 1980 of wat?

Lezen is ook een ding. De aanpassing zit in het feit dat tot nu toe het local admin account was beschermd tegen lockout - de redenering daarachter is simpel - dat is de enige redding die de eigenaar van een systeem nog heeft als alle andere accounts gelocked zijn. Nu kan je dus aanzetten dat dat account ook gelocked *kan* worden. Afhankelijk van de lockout policy heb je dan dus wel een recovery plan nodig voor als alle accounts op een systeem daadwerkelijk gelocked zijn.
14-10-2022, 14:51 door Anoniem
Door Anoniem:
Door Anoniem: sjonge sjonge sjonge wat een enovatie weer. locale admin accounts die via rdp en netwerk accounts tegen brute-forces te beschermen. is dit 1980 of wat?

Lezen is ook een ding. De aanpassing zit in het feit dat tot nu toe het local admin account was beschermd tegen lockout - de redenering daarachter is simpel - dat is de enige redding die de eigenaar van een systeem nog heeft als alle andere accounts gelocked zijn. Nu kan je dus aanzetten dat dat account ook gelocked *kan* worden. Afhankelijk van de lockout policy heb je dan dus wel een recovery plan nodig voor als alle accounts op een systeem daadwerkelijk gelocked zijn.

zucht... ne compredez pas he....

"Dit kan zowel via het remote desktop protocol (RDP) als het netwerk."

het had natuurlijk al JAREN lang een optie kunnen zijn dat inloggen via RDP/netwerk tegen brute-force beschermd waren maar dat als je LOCAAL (achter toetsebord) inlogged ruimer zijn. innovatie is dit niet want andere OSen doen dit dus al JAREN!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.