Il servizio Server SMB di Microsoft in Windows 11 ha ricevuto un aggiornamento per migliorare la sua difesa contro gli attacchi di forza bruta.
Nell'ultimo aggiornamento del sistema operativo Windows 11 2022, Insider Preview Build 25206, recentemente trasferito al canale dev, SMB Authentication Rate Limiter è abilitato per impostazione predefinita.
Inoltre, alcune altre impostazioni sono state modificate per rendere questi attacchi "meno efficaci".
bersaglio poco attraente
"Con il rilascio di Windows 11 Insider Preview Build 25206 Dev Channel oggi, il servizio SMB Server ha ora un valore predefinito di 2 secondi tra ogni errore di autenticazione NTLM in entrata", ha affermato Ned Pyle, Principal Program Manager per Microsoft Windows Server Engineering. . grappolo. in un post sul blog (si apre in una nuova scheda) che annuncia la notizia.
"Ciò significa che se un utente malintenzionato in precedenza inviava 300 tentativi di forza bruta al secondo da un client per 5 minuti (90,000 password), lo stesso numero di tentativi richiederebbe ora un minimo di 50 ore."
In altre parole, abilitando la funzionalità, si verifica un ritardo tra ogni tentativo di autenticazione NTLM fallito, il che rende il servizio server SMB più resistente agli attacchi di forza bruta.
"L'obiettivo qui è rendere un client Windows un obiettivo poco attraente, sia come parte di un gruppo di lavoro che per i tuoi account locali quando ti unisci a un dominio", hanno aggiunto Amanda Langowski e Brandon LeBlanc di Microsoft.
La limitazione della velocità di autenticazione, che non è abilitata per impostazione predefinita, è stata introdotta per la prima volta in Windows Server, Windows Server Azure Edition e Windows 11 Insider build circa sei mesi fa. Il server SMB, invece, si avvia automaticamente su tutte le versioni. Tuttavia, è necessario esporsi a Internet aprendo manualmente un firewall.
Coloro che sono interessati a provare la nuova funzionalità dovrebbero eseguire questo comando di PowerShell:
Establecer-SmbServerConfiguration-InvalidAuthenticationDelayTimeInMs n
"Questo cambiamento di comportamento non ha alcun effetto su Kerberos, che esegue l'autenticazione prima che un protocollo applicativo come SMB si connetta. È progettato per essere un altro livello di difesa in profondità, in particolare per i dispositivi non di area come gli utenti domestici", ha affermato Pyle.