Não sei o que é mais “embaraçoso” para uma certa empresa de Tecnologia: não prover um recurso ou funcionalidade indispensável para a segurança do sistema, ou anunciá-lo como se fosse algo inédito ou inovador, quando na prática a concorrência já faz isto há tempos! Estou exagerando? Acredito que não. O caso em questão é a Microsoft, que recentemente fez um anúncio sobre a proteção para ataques de força bruta, para a autenticação de administradores no sistema…
“Microsoft announced today that IT admins can now configure any Windows system still receiving security updates to automatically block brute force attacks targeting local administrator accounts via a group policy. Microsoft added this policy as they say Windows does not currently apply Account Lockout policies to “local administrators,” allowing threat actors to repeatedly brute force passwords for these accounts.”
— Bleeping Computer.
A partir da última atualização cumulativa (11/out), o sistema operacional Windows 11 terá uma nova política de grupo padrão, designada para bloquear automaticamente todas as tentativas de autenticação para as contas de usuário, incluindo até mesmo as contas de administrador local! Ela será executada após 10 tentativas de entrada com falha em um período de 10 minutos, impossibilitando realizar novas tentativas para os próximos 10 minutos. Ela tem como objetivo, mitigar os tradicionais ataques de força-bruta e até então, os sistemas operacionais da empresa não permitiam o bloqueio de contas de administradores locais.
Os bons administradores que desejarem ativar essa defesa adicional contra ataques de força bruta, poderão encontrar a sua respectiva política “Allow Administrator account lockout” na seção “Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policies”, personalizando os parâmetros de configuração de acordo com os seus critérios. Outra mudança importante está relacionada as regras para a definição de senhas complexas, as quais deverão ter pelo menos três dos quatro tipos básicos de caracteres (minúsculas, maiúsculas, números e símbolos) para a sua composição. Algo bem além dos tradicionais 8 caracteres de tamanho…
Sem sombra de dúvidas, tais medidas irão melhorar de forma significativa, a segurança do sistema em aspectos relacionados a autenticação de administradores. Porém, elas já não deviam estar implementadas e ativadas há tempos? Além disso, também deveremos levar em consideração que muitas vezes, as medidas de seguranças extremas acabam afetando a produtividade dos usuários: 10 minutos travados após 10 tentativas em um período de 10 minutos? Na minha opinião, estes valores parecem ser exagerados, embora seja possível redefini-los novamente.
Em tempo: vou conferir se estas regras também valem para o Tux! &;-D