Тази защитна функция на Windows 11 прави вашия компютър „много непривлекателен“ за хакерите на пароли

Microsoft въведе нова настройка по подразбиране, за да защити машините с Windows 11 срещу атаки с парола, което трябва да ги направи „много непривлекателна цел“ за хакери, опитващи се да откраднат идентификационни данни.

Най-новата предварителна версия на Windows 11 се доставя с включен по подразбиране ограничител на скоростта на удостоверяване на SMB сървъра, което отнема много повече време на атакуващите да се насочат към сървъра с атаки с отгатване на пароли.   

„Услугата SMB сървър вече по подразбиране 2 секунди по подразбиране между всяко неуспешно входящо NTLM удостоверяване,” обяснява експертът по сигурността на Microsoft Нед Пайл. 

„Това означава, че ако нападател преди това е изпратил 300 груби опити в секунда от клиент за 5 минути (90,000 XNUMX пароли), същият брой опити ще са необходими сега 50 часа минимално. Целта тук е да направим една машина много непривлекателна цел за атака на локални идентификационни данни чрез SMB.

Ограничителят на скоростта беше прегледано този март но сега е по подразбиране в Windows 11. 

SMB се отнася до мрежовия протокол за споделяне на файлове на Server Message Block (SMB). Windows и Windows Server идват с активиран SMB сървър. NTLM се отнася до NT Lan Manager (NTLM) протокол за удостоверяване на клиентски сървър с, например, влизания в Active Directory (AD) NTLM. 

Нападател в мрежа може да се представя за „приятелски сървър“, за да прихване NTLM идентификационни данни, предавани между клиент и сървър. Друг вариант е да използвате известно потребителско име и след това да познаете паролата с няколко опита за влизане. Без настройката за ограничаване на скоростта по подразбиране, нападателят може да отгатне паролата в рамките на дни или часове, без да бъде забелязан, отбелязва Пайл.   

Настройката за ограничаване на скоростта по подразбиране на SMB е налична в Windows 11 Insider Preview Build 25206 към Dev Channel. Докато SMB сървърът работи по подразбиране в Windows, той не е достъпен по подразбиране. Ограничителят на скоростта на SMB сървъра обаче ще послужи за цел, тъй като администраторите често го правят достъпен, когато създават клиентски SMB дял, който отваря защитната стена.  

„Започвайки от Build 25206, той е включен по подразбиране и е зададен на 2000ms (2 секунди). Всички лоши потребителски имена или пароли, изпратени до SMB, сега ще причинят забавяне от 2 секунди по подразбиране във всички издания на Windows Insiders. При първото пускане на Windows Insiders този защитен механизъм беше изключен по подразбиране. Тази промяна в поведението не е направена за Windows Server Insiders, тя все още е по подразбиране на 0“, отбелязва екипът на Windows Insider. 

Новата настройка по подразбиране трябва да помогне в ситуации, в които потребители или администратори конфигурират машини и мрежи по начин, който ги излага на атаки с отгатване на парола. 

„Ако вашата организация няма софтуер за откриване на проникване или не е задала политика за блокиране на парола, нападателят може да отгатне паролата на потребителя за няколко дни или часове. Потребител потребител, който изключва защитната си стена и пренася устройството си към опасна мрежа, има подобен проблем“, обяснява Пайл.   

Microsoft постепенно въвежда по-сигурни настройки по подразбиране в Windows 11. По-рано тази година въведе политика за блокиране на акаунти по подразбиране, за да смекчи RDP и други груби атаки с пароли.

А в актуализацията на Windows 11 2022 г. Microsoft добави още няколко настройки по подразбиране за сигурност, като Smart App Control, за да позволи само безопасно apps за стартиране и по подразбиране блокиране на PowerShell, LNK файлове и скриптове на Visual Basic от интернет. 

Pyle също публикува демонстрация на SMB ограничителя на скоростта в действие.