Menu

Konečně po 25 letech: Microsoft řeší starou slabinu Windows – nastavit si to můžete i sami

11.08.2022 08:15 | Jiří Palyza + Přidat komentář
Konečně po 25 letech: Microsoft řeší starou slabinu Windows – nastavit si to můžete i sami

Konečně po 25 letech: Microsoft řeší starou slabinu Windows – nastavit si to můžete i sami | foto: Sasun Bughdaryan/Unsplash

Až doposud mohli útočníci na systém Windows zkoušet prolomit přístupová hesla v neomezeném počtu pokusů. To se ale změní. Microsoft chce po deseti neúspěšných tipech systém zablokovat.

Další velká aktualizace systému Windows 11 se očekává na podzim. V jejím rámci chce Microsoft také zlepšit zabezpečení. Podle informací jednoho ze zaměstnanců společnosti bude přidána nová funkce, která má ztížit takzvané útoky hrubou silou. Při nich útočníci zadávají různé kombinace přihlašovacích údajů tak dlouho, dokud se jim nepodaří trefit shodu a dostat se do systému.

A přesně to bylo v případě Windows doposud možné. Útočníci mohli zkoušet libovolný počet hesel přímo lokálně nebo prostřednictvím vzdáleného přístupu (relace RDP). Často se k tomu používají jednoduché automatizační nástroje, které postupně procházejí a zadávají hesla, dokud se v určitém okamžiku nenajde to správné. Jde o takzvané slovníkové útoky a databáze hesel, které se k tomu používají, se na darknetu dají sehnat za nijak vysoké částky. To už ale brzy nebude možné. Windows 11 totiž budou mít zabudovaný zámek.

Uzamčení systému po deseti sekundách

netaccounts

Počet pokusů o přihlášení do systému se dá nastavit už nyní. | Zdroj: Windows 10/PowerShell

Nová ochranná funkce by měla povolovat pouze deset pokusů o přihlášení. Pokud byste v každém případu zadali špatné heslo, bude váš systém na deset minut zablokován. Teprve poté to můžete zkoušet s dalšími deseti pokusy.

To by mělo na jednu stranu přibrzdit útočníky, kteří se snaží přístup do systému prolomit hrubou silou, ale zároveň by se uživatelé neměli dostat do potíží, pokud by heslo z nějakého důvodu netrefili ani deseti pokusy.

Nastavení ale jde provést už nyní ve Windows 10. Zkontrolovat to můžete v příkazovém řádku (s právy správce) pomocí příkazu "net accounts". Za posledních 25 let, kdy existuje RDP, je v položce "Limit zamknutí" nastavena hodnota "Nikdy". Takže můžete vyzkoušet libovolný počet hesel.

Pomocí příkazu "net accounts /lockoutthershold:10" si můžete sami nastavit limit na deset pokusů o přihlášení. Všimněte si, že doba uzamčení Windows je ve výchozím nastavení určena na 30 minut. Uživatelé verze Windows Pro mohou tyto hodnoty měnit pohodlněji, a to prostřednictvím zásad skupiny. To lze udělat v oblasti Konfigurace počítače > Nastavení systému Windows > Nastavení zabezpečení > Zásady blokování účtů.

Zamknutí Windows

Možnost neomezeného zkoušení hesel nemá pro uživatele smysl. To, že ve výchozím nastavení Windows ještě nebyl nastaven žádný limit, nahrává útočníkům. Proto je dobře, že Microsoft snižuje počet pokusů o zadání. Uživatelé si tuto možnost mohou aktivovat hned. Podle informací Microsoftu se nové výchozí nastavení objeví nejen ve Windows 11, ale je plánováno i pro Windows 10 a Windows Server.

Zdroj: Twitter/David WestonDocs.microsoft.com

Komentáře

* Hvězdičkou jsou označeny povinné informace.

    Toto je tam hádam od

    doby WIN NT!!!
    Myslel som si, že toto je portál pre geekov! :-))

    Reagovat na komentář

    Reakce na Endy: Souhlasím. Pokud nezůstane jiná možnost vstupu po vyčerpání pokusů, pak to bude velice zajímavé.

    Reagovat na komentář

    upřesnění

    Reakce na Michal Beran: net accounts /lockoutthreshol­d:99

    Reagovat na komentář

    Tak doufam,že Microsoft se svoji politikou poslednich let „pokazim co můžu a vydavam to za zlepšení“ umožní mít tuto funkci stále vypnutou. V opacném případě se těším na miliony uživatelu, kterým se lockne z ničeho nic účet kvůli rds útoku na pozadí

    Reagovat na komentář

    Reakce na Petr: no ale ono to tam už dávno je, jen musíte vědět, kde…

    Reagovat na komentář

    Reakce na Jan Ullrich: Zadáváte ho v cmd nebo PowerShelu?

    Reagovat na komentář

    To už mohlo být dávno. Člověk by se spíš měl ptát, co stálo (kdo stál či lobboval) za politikou Microsoftu, umožnit zadávat tak rychle hesla.

    Reagovat na komentář

    drobná chybička

    Tento parametr v mých Windows 10 vůbec nefunguje, když si dám výpis syntaxe příkazu, tak tam vůbec není uveden:
    [/FORCELOGOFF:{mi­nutes | NO}] [/MINPWLEN:length]
    [/MAXPWAGE:{days | UNLIMITED}] [/MINPWAGE:days]
    [/UNIQUEPW:number] [/DOMAIN]

    Reagovat na komentář

    Drobná chybička

    Dovolím si upozornit na drobný překlep v přepisu příkazu „net accounts /lockoutthershol­d:10“ má správně být parametr „/lockouttreshhol­d:10“. Uvítal bych i popis dalších parametrů nejen odkaz na editor zásad, případně nastevení prostřednictvím registrů. Jinak ale velmi užitečná rada, děkuji za ni.

    Reagovat na komentář

Zajímavosti ze světa IT v e-mailu

Stačí odeslat svoji e-mailovou adresu


Nemusíte se obávat, váš e-mail ochráníme. Postupujeme podle těchto zásad a obchodních podmínek. Budeme vás pravidelně informovat o novinkách ve světě počítačů a technologií. Díky newsletteru snadno vyhodnotíme, jestli jsme se vám trefili do vkusu.




Komerční sdělení