微软为所有支持的Windows版本推出了一项新功能，将使黑客更难对本地管理帐户进行暴力破解密码攻击。

这个新功能意味着Windows设备现在可以锁定本地管理员了——在昨天周二的补丁更新中引入了一套新的管理员帐户锁定策略之前，Windows设备是不允许这么做的。

当本地管理帐户无法被Windows设备锁定时，攻击者可以对该帐户进行无限次尝试，以猜测正确的密码。攻击者通常能很快猜到简单而简短的密码。

正如微软指出的，这种攻击可以通过网络使用远程桌面协议(RDP)完成。RDP是勒索软件团伙试图获取系统访问权限时经常针对的一个功能。

“从2022年10月11日或以后的Windows累积更新开始，本地策略将启用本地管理员帐户锁定。该策略可以在“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\帐户锁定策略”下找到，”微软在KB5020282的支持说明中解释道。

帐户锁定策略有四种设置:重置帐户锁定计数器后;所有管理员帐户锁定;帐户锁定阈值;和帐户锁定时间。微软的基线建议机构应该启用管理员帐户锁定，并将其他三个设置为10/10/10，这意味着在10分钟内，如果10次尝试失败，该帐户将被锁定，锁定持续10分钟。锁定后自动解锁。

这是Windows 11，版本22H2，以及在安装之前包含2022年10月11日Windows累积更新的干净安装的机器的默认状态。微软指出，安装好之后再安装10月份更新的机器在默认情况下是不安全的，需要显式添加策略设置。管理员也可以应用“允许管理员帐户锁定”的禁用设置。

此外，在使用本地管理员帐户的新机器上，微软现在强制要求密码具有复杂性，要求密码“至少具有四种基本字符类型(小写、大写、数字和符号)中的三种”。

微软Active Directory项目经理也指出，微软周二发布的补丁已经限制了通过域联接来重用计算机帐户，如果域联接者对该帐户没有适当的权限。这是微软Windows“默认安全”努力的另一个元素，与活动目录权限提升漏洞CVE-2022-38042有关，该漏洞在10月11日的更新中得到了解决，并对域连接进行了加固更改。

去年9月，微软推出了一个默认的速率限制，使Windows 11电脑成为试图窃取证书的黑客“非常没有吸引力的目标”。