Diese Sicherheitsfunktion von Windows 11 macht Ihren PC für Passwort-Hacker „sehr unattraktiv“.

Microsoft hat einen neuen Standard eingeführt, um Windows 11-Rechner vor Passwortangriffen zu schützen, was sie zu einem „sehr unattraktiven Ziel“ für Hacker machen sollte, die versuchen, Anmeldeinformationen zu stehlen.

Die neueste Vorschau von Windows 11 wird standardmäßig mit aktiviertem SMB-Server-Authentifizierungsratenbegrenzer ausgeliefert, wodurch es für Angreifer viel zeitaufwändiger wird, den Server mit Angriffen zum Erraten von Passwörtern anzugreifen.   

„Der SMB-Serverdienst jetzt Standardmäßig ist ein 2-Sekunden-Standard zwischen jeder fehlgeschlagenen eingehenden NTLM-Authentifizierung“, erklärt Microsoft-Sicherheitsexperte Ned Pyle. 

„Das heißt, wenn ein Angreifer zuvor 300 Minuten lang 5 Brute-Force-Versuche pro Sekunde von einem Client gesendet hat (90,000 Passwörter), würde jetzt die gleiche Anzahl von Versuchen dauern 50 Stunden mindestens. Das Ziel hier ist es, eine Maschine zu einem sehr unattraktiven Ziel für den Angriff auf lokale Zugangsdaten über SMB zu machen.“

Der Ratenbegrenzer war Vorschau in diesem März ist aber jetzt die Standardeinstellung unter Windows 11. 

SMB bezieht sich auf das Server Message Block (SMB)-Netzwerkdateifreigabeprotokoll. Windows und Windows Server werden mit aktiviertem SMB-Server geliefert. NTLM bezieht sich auf die NT LAN-Manager (NTLM) Protokoll für die Client-Server-Authentifizierung mit z. B. Active Directory (AD) NTLM-Anmeldungen. 

Ein Angreifer in einem Netzwerk kann sich als „freundlicher Server“ ausgeben, um zwischen Client und Server übertragene NTLM-Anmeldeinformationen abzufangen. Eine andere Möglichkeit besteht darin, einen bekannten Benutzernamen zu verwenden und das Passwort dann mit mehreren Anmeldeversuchen zu erraten. Ohne die Standardeinstellung des Ratenbegrenzers könnte ein Angreifer das Passwort innerhalb von Tagen oder Stunden erraten, ohne entdeckt zu werden, bemerkt Pyle.   

Die SMB-Standardratenbegrenzungseinstellung ist verfügbar in die Windows 11 Insider Preview Build 25206 zum Dev Channel. Während der SMB-Server standardmäßig in Windows ausgeführt wird, ist er standardmäßig nicht zugänglich. Der SMB-Server-Ratenbegrenzer erfüllt jedoch einen Zweck, da Administratoren ihn häufig zugänglich machen, wenn sie eine Kunden-SMB-Freigabe erstellen, die die Firewall öffnet.  

„Ab Build 25206 ist es standardmäßig aktiviert und auf 2000 ms (2 Sekunden) eingestellt. Alle ungültigen Benutzernamen oder Passwörter, die an SMB gesendet werden, verursachen jetzt standardmäßig eine Verzögerung von 2 Sekunden in allen Editionen von Windows Insiders. Bei der ersten Veröffentlichung für Windows-Insider war dieser Schutzmechanismus standardmäßig deaktiviert. Diese Verhaltensänderung wurde nicht an Windows Server-Insidern vorgenommen, sie ist immer noch standardmäßig auf 0 eingestellt“, stellt das Windows-Insider-Team fest. 

Die neue Standardeinstellung sollte in Situationen helfen, in denen Benutzer oder Administratoren Computer und Netzwerke so konfigurieren, dass sie Angriffen durch das Erraten von Passwörtern ausgesetzt sind. 

„Wenn Ihr Unternehmen keine Software zur Erkennung von Eindringlingen hat oder keine Kennwortsperrrichtlinie festlegt, könnte ein Angreifer das Kennwort eines Benutzers innerhalb von Tagen oder Stunden erraten. Ein Verbraucher, der seine Firewall ausschaltet und sein Gerät in ein unsicheres Netzwerk bringt, hat ein ähnliches Problem“, erklärt Pyle.   

Microsoft führt schrittweise sicherere Standardeinstellungen in Windows 11 ein. Anfang dieses Jahres führte es eine Standardrichtlinie zur Kontosperrung ein, um RDP- und andere Brute-Force-Kennwortangriffe abzuwehren.

Und im Windows 11 2022 Update fügte Microsoft mehrere weitere Sicherheitsvorgaben hinzu, wie etwa Smart App Control, um nur Safes zuzulassen apps ausgeführt werden und standardmäßig PowerShell, LNK-Dateien und Visual Basic-Skripts aus dem Internet blockieren. 

Pyle hat auch eine Demo des SMB-Ratenbegrenzers in Aktion gepostet.