Гэтая функцыя бяспекі Windows 11 робіць ваш ПК «вельмі непрывабным» для ўзломшчыкаў пароляў

Microsoft увяла новы параметр па змаўчанні для абароны машын Windows 11 ад атак пароляў, што павінна зрабіць іх «вельмі непрывабнай мішэнню» для хакераў, якія спрабуюць скрасці ўліковыя дадзеныя.

Апошняя папярэдняя версія Windows 11 пастаўляецца з уключаным па змаўчанні абмежавальнікам хуткасці аўтэнтыфікацыі сервера SMB, што робіць зламыснікаў значна больш працаёмкімі для нападаў на сервер з дапамогай падбору пароляў.   

«Паслуга сервера SMB цяпер па змаўчанні 2 секунды па змаўчанні паміж кожнай няўдалай уваходнай аўтэнтыфікацыяй NTLM, тлумачыць эксперт па бяспецы Microsoft Нэд Пайл. 

«Гэта азначае, што калі раней зламыснік адпраўляў ад кліента 300 спроб грубай сілы ў секунду на працягу 5 хвілін (90,000 XNUMX пароляў), цяпер спатрэбіцца такая ж колькасць спроб 50 гадзін як мінімум. Мэта тут - зрабіць машыну вельмі непрывабнай мішэнню для нападу на лакальныя ўліковыя дадзеныя праз SMB».

Абмежавальнік хуткасці быў папярэдні прагляд у сакавіку гэтага года але цяпер па змаўчанні ў Windows 11. 

SMB адносіцца да сеткавага пратаколу абмену файламі Server Message Block (SMB). Windows і Windows Server пастаўляюцца з уключаным серверам SMB. NTLM ставіцца да NT Lan Manager (NTLM) пратакол для аўтэнтыфікацыі кліенцкага сервера з, напрыклад, уваходам у Active Directory (AD) NTLM. 

Зламыснік у сетцы можа выдаваць сябе за «дружалюбны сервер», каб перахапіць уліковыя даныя NTLM, якія перадаюцца паміж кліентам і серверам. Іншы варыянт - выкарыстанне вядомага імя карыстальніка, а затым адгадванне пароля з некалькімі спробамі ўваходу ў сістэму. Без налады абмежавальніка хуткасці па змаўчанні зламыснік можа адгадаць пароль на працягу некалькіх дзён ці гадзін, не будучы заўважаным, адзначае Пайл.   

Налада абмежавальніка хуткасці SMB па змаўчанні даступная ў Windows 11 Insider Preview Build 25206 на Dev Channel. Хоць сервер SMB працуе па змаўчанні ў Windows, ён недаступны па змаўчанні. Аднак абмежавальнік хуткасці сервера SMB паслужыць сваёй мэты, таму што адміністратары часта робяць яго даступным пры стварэнні кліенцкага агульнага доступу SMB, які адкрывае брандмаўэр.  

«Пачынаючы з зборкі 25206, ён уключаны па змаўчанні і ўсталяваны на 2000 мс (2 секунды). Любыя няправільныя імёны карыстальнікаў або паролі, адпраўленыя SMB, цяпер будуць выклікаць 2-секундную затрымку па змаўчанні ва ўсіх выпусках Windows Insiders. Пры першым выпуску для інсайдэраў Windows гэты механізм абароны быў адключаны па змаўчанні. Гэта змяненне паводзін не было ўнесена ў Windows Server Insiders, па-ранейшаму па змаўчанні 0», - адзначае каманда Windows Insider. 

Новае значэнне па змаўчанні павінна дапамагчы ў сітуацыях, калі карыстальнікі або адміністратары наладжваюць машыны і сеткі такім чынам, каб падвяргаць іх атакам падбору пароляў. 

«Калі ў вашай арганізацыі няма праграмнага забеспячэння для выяўлення ўварванняў або не ўстаноўлена палітыка блакіроўкі пароляў, зламыснік можа адгадаць пароль карыстальніка за некалькі дзён ці гадзін. Карыстальнік-спажывец, які адключае свой брандмаўэр і пераносіць сваю прыладу ў небяспечную сетку, сутыкаецца з падобнай праблемай», — тлумачыць Пайл.   

Microsoft паступова ўводзіць больш бяспечныя налады па змаўчанні ў Windows 11. Раней у гэтым годзе яна ўвяла палітыку блакіроўкі ўліковага запісу па змаўчанні, каб змякчыць RDP і іншыя атакі грубай сілай з паролем.

А ў абнаўленні Windows 11 2022 Microsoft дадала яшчэ некалькі параметраў бяспекі па змаўчанні, напрыклад Smart App Control, каб дазволіць толькі бяспечныя apps для запуску і па змаўчанні блакіроўка PowerShell, файлаў LNK і сцэнарыяў Visual Basic з Інтэрнэту. 

Pyle таксама апублікаваў дэманстрацыю абмежавальніка хуткасці SMB у дзеянні.