Denne Windows 11-sikkerhedsfunktion gør din pc 'meget uattraktiv' for adgangskodehackere

Microsoft har introduceret en ny standard for at beskytte Windows 11-maskiner mod adgangskodeangreb, som burde gøre dem "et meget uattraktivt mål" for hackere, der forsøger at stjæle legitimationsoplysninger.

Den seneste forhåndsvisning af Windows 11 leveres med SMB-servergodkendelseshastighedsbegrænseren aktiveret som standard, hvilket gør det meget mere tidskrævende for angribere at målrette serveren med adgangskode-gætteangreb.   

"SMB-servertjenesten nu standard til en 2-sekunders standard mellem hver mislykket indgående NTLM-godkendelse," forklarer Microsofts sikkerhedsekspert Ned Pyle. 

"Det betyder, at hvis en angriber tidligere sendte 300 brute force forsøg i sekundet fra en klient i 5 minutter (90,000 adgangskoder), ville det samme antal forsøg nu tage 50 timer som minimum. Målet her er at gøre en maskine til et meget uattraktivt mål for at angribe lokale legitimationsoplysninger gennem SMB."

Satsbegrænseren var forhåndsvist i marts men er nu standard på Windows 11. 

SMB refererer til Server Message Block (SMB) netværksfildelingsprotokollen. Windows og Windows Server leveres med SMB-serveren aktiveret. NTLM henviser til NT Lan Manager (NTLM) protokol til klientserver-godkendelse med for eksempel Active Directory (AD) NTLM-logons. 

En angriber på et netværk kan udgive sig som en 'venlig server' til at opsnappe NTLM-legitimationsoplysninger, der sendes mellem klient og server. En anden mulighed er at bruge et kendt brugernavn og derefter gætte adgangskoden med flere logonforsøg. Uden standardindstillingen for hastighedsbegrænser kunne en hacker gætte adgangskoden inden for dage eller timer uden at blive opdaget, bemærker Pyle.   

Indstillingen for SMB-standardhastighedsbegrænser er tilgængelig i Windows 11 Insider Preview Build 25206 til Dev Channel. Mens SMB-serveren kører som standard i Windows, er den ikke tilgængelig som standard. SMB-serverhastighedsbegrænseren vil dog tjene et formål, fordi administratorer ofte gør den tilgængelig, når de opretter en kunde-SMB-share, der åbner firewallen.  

"Starter i Build 25206, er den tændt som standard og indstillet til 2000ms (2 sekunder). Eventuelle dårlige brugernavne eller adgangskoder, der sendes til SMB, vil nu forårsage en forsinkelse på 2 sekunder som standard i alle udgaver af Windows Insiders. Da den første gang blev udgivet til Windows Insiders, var denne beskyttelsesmekanisme slået fra som standard. Denne adfærdsændring blev ikke foretaget til Windows Server Insiders, den er stadig standard til 0," bemærker Windows Insider-teamet. 

Den nye standard skulle hjælpe i situationer, hvor brugere eller administratorer konfigurerer maskiner og netværk på en måde, der udsætter dem for adgangskodeangreb. 

"Hvis din organisation ikke har nogen software til registrering af indtrængen eller ikke indstiller en adgangskodelåspolitik, kan en hacker gætte en brugers adgangskode i løbet af få dage eller timer. En forbrugerbruger, der slukker deres firewall og bringer deres enhed til et usikkert netværk, har et lignende problem,” forklarer Pyle.   

Microsoft udruller gradvist mere sikre standardindstillinger i Windows 11. Tidligere i år introducerede det en standardkontolåsepolitik for at afbøde RDP og andre brute force-adgangskodeangreb.

Og i Windows 11 2022-opdateringen tilføjede Microsoft flere sikkerhedsstandarder, såsom Smart App Control for kun at tillade sikker apps at køre, og som standard blokerer PowerShell, LNK-filer og Visual Basic-scripts fra internettet. 

Pyle har også udgivet en demo af SMB-hastighedsbegrænseren i aktion.