暴力破解(Brute force attacks)是通过试错策略来破解密码和加密密钥的一种功击形式,也是网路犯罪分子拿来功击 Windows 计算机的最常用技巧之一。如果没有适当的安全工具,攻击者可以无限制地尝试推测账户的密码。如果密码很弱,威胁者很快还会渗透到账户中。
微软为了对抗暴力破解,允许 IT 管理员对任意 Windows系统进行配置来接受安全更新,以手动制止针对本地管理员帐号的暴力破解方法。自 2022 年 10 月 11 日开始发布的 Windows 累积更新中,本地策略将可用于启用本地管理员账户锁定。
想要启用该功能,IT 管理员须要在本地组策略编辑器 Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policies 路径下启用“Allow Administrator account lockout”策略。
Microsoft 还建议启用账户锁定策略下的其他条目:帐户锁定持续时间、帐户锁定阀值和重置账户锁定计数器然后。该公司建议采用 10/10/10 方法:在 10 分钟内尝试失败 10 次后,帐户将被锁定。然后,此锁定将持续 10 分钟,之后账户将手动解锁。
对于 Windows 11 版本 22H2 上的新机器或在初始设置之前包含 2022 年 10 月 11 日 Windows 累积更新的任何新机器,系统设置时也会默认启用管理员账户锁定策略。
如果使用本地管理员账户,微软如今在新机器上强制执行密码复杂性。密码必须起码满足四项要求中的三项:小写字母、大写字母、数字和符号。据该软件大鳄称,这些将有助于“进一步保护账户免受暴力功击”