Windows 11 Artık Varsayılan Olarak RDP Brute-Force Ataklarını Engelliyor
Microsoft uzun yıllardır Brute-Force atakları için Account Lockout dediğimiz bir hesap kilitleme ilkesi kullanmaktadır. Pek çok kurumsal şirket içerisinde uygun bir password policy yani şifre ilkesi yanında mutlaka bir hesap kilitleme ilkesi bulunmaktadır. Bu sayede brute-force atak yapan birisi ilgili hesap ismini doğru bilse dahi belirli bir şifre denemesi sonrasında ilgili hesap ilkede belirtilen süre boyunca kilitli kalacağı için kötü niyetli bir kişi çok sınırlı sayıda şifre denemiş ve başarısız olacaktır. Zaten bir hesap sürekli kilitleniyor ise sistem yöneticileri de bunu hızlıca araştıracaktır. Tabi ki her hesap kilitlenmesi kötü niyetli bir atak olduğunu göstermez. Özellikle düzenli şifre değiştiren bir kullanıcının her cihazda bu şifreyi güncellememesi veya bir servis hesabının şifresinin güncellenmesi sonrasın kullanıldığı tüm servislerde bu şifrenin güncellenmemesi gibi durumlarda hesap kiltlenmelerine neden olabilir.
Peki Microsoft Windows 11 ile ne yaptı? Aslında uzun yıllardır kullandığı bu lockout ilkesini varsayılan olarak aktif ett ve administrator hesabı dahil bir hesap 10 kez yanlış şifre dener ise kilitlenecek şekilde ayarlanmaktadır.
Bu ilke Windows 10 üzerinde ve hatta pek çok Microsoft OS için geçerli bir durum, tek fark Windows 11 Insider Preview 22528.1000 ve sonraki sürümlerde artık bu ilke varsayılan olarak aktif geliyor. Yani aslında bu bakımdan son derece yararlı bir durum. Özellikle son kullanıcılar ve sistemlerinde Windows 10, 11 gibi makineleri sunucu gibi kullananlar veya test için veri merkezlerine kurulan istemci os sürümlerini düşündüğümüz zaman güzel bir özellik.
Peki böyle bir durumda yani hesabın sürekli kilitlenmesi muhtemel mi? Evet, ancak hesabı sürekli kilitlenen bir insan da sanırım bir atak olduğunu anlat ve bunun için bir önlem alır diye düşünüyoruz.
Bu ilke local GPO ile değiştirilebiliyor, yani eğer bunu Windows 10 daki gibi kapatmak istiyorsanız aşağıdaki yolu izlemeniz yeterli;
başlat – çalıştır – gpedit.msc
Yukarıdaki yolu izleyerek bu ayarları değiştirebilirsiniz.