Windows 11 chặn tấn công brute-force RDP theo mặc định
Th7
Bản cập nhật mới nhất của Windows 11 đi kèm với chính sách Account Lockout Policy được bật theo mặc định sẽ tự động khóa tài khoản người dùng (bao gồm cả tài khoản quản trị viên) sau 10 lần đăng nhập không thành công trong 10 phút. Thường thì trong kiểu tấn công brute-force, hacker sẽ dùng các công cụ tự động để đoán mật khẩu của người dùng. Để ngăn chặn điều này, phiên bản Windows 11 mới nhất (Insider Preview 22528.1000 và mới hơn) sẽ chặn brute-force theo mặc định bằng cách khóa tài khoản sau khi nhập mật khẩu sai 10 lần liên tiếp.
“Windows 11 mới nhất đã có chính sách khóa tài khoản theo mặc định để giảm thiểu RDP và các vector tấn công brute-force mật khẩu khác”, David Weston, Phó chủ tịch Microsoft phụ trách Bảo mật Hệ điều hành và Doanh nghiệp chia sẻ.
“Kỹ thuật tấn công này (brute-force) được sử dụng phổ biến trong các chiến dịch phán tán ransomware được vận hành bởi con người và các cuộc tấn công khác. Việc kiểm soát như thế này khiến brute-force gặp nhiều khó khăn hơn, điều đó thật tuyệt vời”.
Như Weston đã đề cập, brute-force là chiến thuật phổ biến của hacker khi muốn xâm phạm hệ thống Windows thông qua Remote Desktop Protocol (RDP) mà không biết mật khẩu tài khoản.
Việc sử dụng Windows Remote Desktop Services để xâm mạng mạng doanh nghiệp là cực kỳ phổ biến trong giới tội phạm mạng. FBI cho biết RDP chịu trách nhiệm cho khoảng 60 đến 80% số vụ xâm nhập mạng dẫn tới tấn công bằng ransomware.
Microsoft hiện đang dần dần chặn đứng các vector tấn công phổ biến nhất mà hacker thường dùng để lây nhiễm ransomware vào hệ thống Windows. Các động thái gần đây của Microsoft bao gồm chặn macro theo mặc định trong Office với file được tải về, thực thi xác thực đa yếu tố trong Azure AD…
Chính sách Account Lockout Policy cũng có sẵn trên Windows 10 nhưng nó không được bật theo mặc định. Do đó, hacker vẫn có thể tiến hành tấn công brute-force để đoán mật khẩu của người dùng.
Quản trị viên có thể cấu hình chính sách này trên Windows 11 trong Group Policy Management Console từ Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Account Lockout Policy.
Đây là một cải tiến bảo mật quan trọng vì nhiều máy chủ RDP, đặc biệt là những máy chủ được dùng để giúp nhân viên làm việc từ xa truy cập vào dữ liệu của công ty, có tiếp xúc trực tiếp với internet. Hacker có thể dễ dàng khai thác, tấn công vào những máy được cấu hình bảo mật kém.