Windows 11: Microsoft verbessert Schutz vor Ransomware-Angriffen

Stefan Beiersmann,
IT-Sicherheit(Bild: Shutterstock)

Ab Werk wird die Gruppenrichtlinie für die Kontosperrung aktiviert. Die Änderung soll Passwort-Angriffe auf RDP-Endpoints erschweren.

Microsoft ändert eine Voreinstellung in Windows 11, die Nutzer besser vor bestimmten Formen von Ransomware-Angriffen schützen soll. Die Einstellung betrifft die Kontosicherheit von Remote Desktop Protocol Endpoints und richtet sich gegen Attacken mit kompromittierten Anmeldedaten sowie Brute-Force-Angriffen auf Passwörter.

Das Remote Desktop Protocol (RDP) ist weiterhin eines der beliebtesten Ziele von Cybererpressern, um einen ersten Zugang zu RDP-Endpoints zu erhalten – bevor sie an Dritte verkauft werden. Die neue Voreinstellung testet Microsoft derzeit für Windows 11 im Insider-Programm. Laut Dave Weston, Vice President für OS Security and Enterprise bei Microsoft, soll sie auch auf Windows 10 und Windows Server übertragen werden.

„Windows-11-Builds haben jetzt eine DEFAULT-Kontosperrrichtlinie, um RDP und andere Brute-Force-Passwortvektoren zu entschärfen. Diese Technik wird sehr häufig in Human Operated Ransomware und anderen Angriffen verwendet – diese Kontrolle wird Brute-Forcing viel schwieriger machen, was großartig ist!“, schreibt Weston in einem Tweet. Die Richtlinie ist bereits als Option für Windows 10 verfügbar, aber ab Werk nicht aktiv.

Automatische Kontosperrung auch für Administratoren

Der britische Sicherheitsexperte Kevin Beaumont lobte Microsoft für die Entscheidung, die Voreinstellung für die Kontosperrrichtlinie zu ändern. „In der Annahme, dass dies in einem monatlichen Sicherheitspatch enthalten ist (in einer breiten Distribution), wird damit einer der Haupteinstiegspunkte für Ransomware beseitigt“, antwortete Beaumont per Twitter.

Die neue Voreinstellung legt fest, dass ein Konto nach zehn gescheiterten Anmeldeversuchen für zehn Minuten gesperrt wird. Zudem gibt Microsoft künftig vor, dass nach einem nicht erfolgreichen Anmeldeversuch der Kontosperrungszähler erst nach zehn Minuten wieder automatisch zurückgesetzt wird. Darüber hinaus wird ab Werk die Kontosperre auch für das Administratorkonto aktiviert.

Die Kontosperrrichtlinien finden sich in den Sicherheitseinstellungen der Computerkonfiguration und können über den Gruppenrichtlinieneditor eingesehen und bearbeitet werden. Weston zufolge sind die neuen Voreinstellungen ab Windows 11 Build 212528.1000 aktiv.