Microsoft a déployé une nouvelle fonctionnalité pour toutes les versions de Windows prises en charge destinée à rendre plus difficiles les attaques par force brute contre les comptes administrateurs locaux. Cette nouvelle fonctionnalité signifie que les appareils Windows peuvent désormais verrouiller les administrateurs locaux – ce que les appareils Windows n’étaient pas autorisés à faire jusqu’à ce que les mises à jour du Patch Tuesday d’hier introduisent un nouvel ensemble de politiques de verrouillage des comptes administrateurs.
Lorsque les comptes administrateurs locaux ne peuvent pas être verrouillés sur un appareil Windows, les attaquants peuvent tenter de deviner le bon mot de passe du compte sans limites. Les attaquants peuvent souvent deviner rapidement ceux qui sont simples et courts. Comme le relève Microsoft, cette attaque peut être réalisée en utilisant le protocole de bureau à distance (RDP) sur un réseau. RDP est une fonctionnalité souvent ciblée par les gangs de ransomwares qui tentent d’accéder aux systèmes.
« A partir des mises à jour de Windows, il sera possible d’activer le verrouillage des comptes d’administrateur local », explique Microsoft dans une note d’assistance pour KB5020282 repérée par le site Bleeping Computer.
Microsoft serre la vis
La fonctionnalité de verrouillage des comptes comporte quatre paramètres : réinitialisation du compteur de verrouillage des comptes, verrouillage de tous les comptes d’administrateur, seuil de verrouillage des comptes et durée du verrouillage des comptes. La ligne de base de Microsoft recommande aux organisations d’activer le verrouillage du compte administrateur et de définir les trois autres paramètres sur 10/10/10, ce qui signifie que le compte sera verrouillé après 10 tentatives infructueuses en 10 minutes et que le verrouillage durera 10 minutes. Après cela, le compte est automatiquement déverrouillé.
Il s’agit de l’état par défaut pour Windows 11, version 22H2, ainsi que pour les machines installées proprement qui incluent les mises à jour cumulatives de Windows du 11 octobre 2022 avant la configuration.
Microsoft note qu’une machine qui a été configurée et sur laquelle les mises à jour d’octobre ont été installées ultérieurement ne serait pas sécurisée par défaut et nécessiterait l’ajout explicite des paramètres de stratégie. Les administrateurs peuvent également appliquer le paramètre désactivé pour « autoriser le verrouillage du compte administrateur ».
Des mots de passe plus forts
Sur les nouvelles machines utilisées par un compte administrateur local, Microsoft appliquera désormais la complexité du mot de passe, exigeant que le mot de passe ait « au moins trois des quatre types de caractères de base (minuscules, majuscules, chiffres et symboles) ».
La direction de Microsoft souligne que le Patch Tuesday de Microsoft a restreint la réutilisation des comptes informatiques via la jointure de domaine si la personne qui rejoint le domaine ne dispose pas des droits appropriés sur le compte. Il s’agit d’un autre élément de l’effort de Microsoft pour sécuriser Windows par défaut et il est lié à une faille d’élévation de privilèges d’Active Directory – CVE-2022-38042 – traitée dans la mise à jour du 11 octobre, avec des changements de durcissement pour la jointure de domaine.
En septembre, Microsoft a déployé un limiteur de débit par défaut pour faire des machines Windows 11 une « cible très peu attrayante » pour les pirates qui tentent de voler des informations d’identification.
Source : ZDNet.com