Microsoft führt eine neue Sicherheitsvorgabe für Windows 11 ein, die Ransomware-Angriffe verhindern soll, die mit Angriffen zum Erraten von Passwörtern und kompromittierten Anmeldedaten beginnen.

Die neue Sicherheitsvorgabe für Kontoanmeldeinformationen soll dazu beitragen, Ransomware-Angriffe zu vereiteln, die über kompromittierte Anmeldeinformationen oder Brute-Force-Passwortangriffe auf RDP-Endpunkte (Remote Desktop Protocol), die häufig im Internet zu finden sind, gestartet werden.

RDP ist nach wie vor die beliebteste Methode für den Erstzugang bei Ransomware-Einsätzen, wobei sich Gruppen darauf spezialisiert haben, RDP-Endpunkte zu kompromittieren und sie für den Zugang an andere zu verkaufen.

Die neue Funktion wird mit einem aktuellen Insider-Test-Build in Windows 11 eingeführt, aber auch auf Windows 10 Desktop und Server wird die Funktion zurückportiert, so Dave Weston, Vice President of OS Security and Enterprise bei Microsoft. „Win11-Builds haben jetzt eine DEFAULT-Kontosperrrichtlinie, um RDP und andere Brute-Force-Passwortvektoren zu entschärfen. Diese Technik wird sehr häufig in Human Operated Ransomware und anderen Angriffen verwendet – diese Kontrolle wird Brute-Forcing viel schwieriger machen, was großartig ist“, twitterte Weston.  Weston betonte „Standard“, weil die Richtlinie bereits eine Option in Windows 10 ist, aber nicht standardmäßig aktiviert ist.

Das ist eine große Neuigkeit und stellt eine Parallele zu Microsofts standardmäßiger Blockierung von Internetmakros in Office auf Windows-Geräten dar, die ebenfalls eine wichtige Möglichkeit für Malware-Angriffe auf Windows-Systeme über E-Mail-Anhänge und Links darstellen.

Microsoft hat die standardmäßige Sperrung von Internetmakros diesen Monat ausgesetzt, wird sie aber bald wieder freigeben. Die standardmäßige Blockierung nicht vertrauenswürdiger Makros ist ein wirksames Mittel gegen eine Technik, die darauf beruht, dass Endbenutzer dazu verleitet werden, auf eine Option zur Aktivierung von Makros zu klicken (die standardmäßig deaktiviert sind), obwohl in Office davor gewarnt wird, dies zu tun.   Die neue Kontosperrung wurde von einem Cybersicherheitsexperten begrüßt.

„Oh mein Gott, sie machen das RDP-Eintrittsproblem – zwischen Makros und RDP macht dies fast alle Windows/MS Ransomware-Eintritte“, schrieb der britische Sicherheitsexperte Kevin Beaumont. „In der Annahme, dass dies in einem monatlichen Sicherheitspatch enthalten ist (breite Distribution), wird dies einen der wichtigsten Einstiegspunkte für Ransomware lösen (Quelle: mein Team hat mit 5000 Sicherheitsvorfällen pro Jahr zu tun)“, fügte er hinzu.

Die Standardeinstellungen werden im Verzeichnis „Kontosperrungsrichtlinie“ der lokalen Windows-Computerrichtlinien zu finden sein. Der Standardwert für die Dauer der Kontosperrung beträgt 10 Minuten, der Schwellenwert für die Kontosperrung ist auf maximal 10 ungültige Anmeldeversuche festgelegt, die Einstellung „Kontosperrung für Administratoren zulassen“ ist aktiviert und die Einstellung „Kontosperrungszähler zurücksetzen nach“ ist auf 10 Minuten festgelegt.

Abgesehen von Ransomware-Angriffen sollte die Windows 11-Sicherheitskontrolle das allgemeine Problem der Brute-Force-Angriffe auf Passwörter, wie z. B. das Ausfüllen von Anmeldeinformationen, eindämmen, die sehr effektiv sind, wenn die Multifaktor-Authentifizierung (MFA) für ein Konto nicht aktiviert wurde. Wie Beaumont kürzlich feststellte, ist MFA nicht in RDP integriert und die Authentifizierung ist leicht zu erzwingen.

Microsoft hat sich noch nicht dazu geäußert, wie die neue Sicherheitskontrolle in Windows 11 und Windows 10 eingeführt werden soll, aber sie könnte in einem zukünftigen Sicherheitsupdate enthalten sein. Laut Weston sollte die Kontrolle in der Windows 11 Insider Preview Build 22528.1000 und höher verfügbar sein.

Microsoft hat versucht, die allgemeine Sicherheitsgrundlage für Windows-Kunden zu verbessern. Im Mai begann das Unternehmen mit der Einführung von „Sicherheitsvorgaben“ für Millionen von Kunden, die Azure Active Directory nutzen. Die Standardeinstellungen stellen sicher, dass Kunden bei Bedarf MFA aktiviert haben, basierend auf dem Standort, dem Gerät, der Rolle und der Aufgabe des Benutzers.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago