近日，最近的Windows11版本面向启用帐户锁定策略推送，其中该策略将在10次登录尝试失败10分钟后自动锁定用户帐户(包括管理员帐户)。

帐户暴力破解过程通常需要使用自动化工具猜测密码，在连续10次输入正确密码失败后，此策略现在在最新的Win11版本(Insider Preview 22528.1000和更新版本)中默认被阻止。

他表示，Win11 22H2默认使用暴力破解保护功能，在十次尝试猜测本地密码失败后，Windows将锁定系统。

微软企业和操作系统安全副总裁大卫韦斯顿谈到了Win11的新安全措施，Win11版本现在有一个默认帐户锁定策略，以减轻RDP和其他暴力密码向量，这种技术在人为勒索软件和其他攻击中非常常用 - 这种控制将使暴力破解更加困难。

正如韦斯顿所说，暴力破解凭据是威胁参与者在不知道帐户密码时通过远程桌面协议(RDP)破坏Windows系统的一种流行策略。使用Windows远程桌面服务来破坏企业网络在网络犯罪分子中非常普遍，RDP对导致勒索软件攻击的所有网络破坏中大约70-80%负责。

阻止最流行攻击

微软最近宣布的其他以安全为重点的更改，包括自动阻止下载文档中的Office宏和在Azure AD中强制执行多因素身份验证(MFA)，该公司正在慢慢关闭勒索软件运营商用来破坏Windows网络的所有入口向量和系统。

帐户锁定策略也适用于Windows10系统。然而，不幸的是，它默认没有启用，允许攻击者通过暴露的远程桌面协议(RDP)服务强行进入Windows系统。管理员可以在组策略编辑器中找到计算机配置 > Windows 设置 > 安全设置 > 帐户锁定策略来查看这一策略。

这是一项至关重要的安全改进，因为许多RDP服务器，尤其是那些用于帮助远程工作人员访问公司资产的服务器，直接暴露在Internet中，如果配置不当，组织的网络就会受到攻击。

默认情况下，Win11会在十分钟内猜测密码失败十次后锁定，IT管理员可以根据需要配置锁定所需的次数和时间。

值得一提的是，微软在早期的Windows中曾经加入过这一策略，后来去掉了，直到Win11 22H2(22528.1000及更高版本)才又加了回来。