Αυτή η δυνατότητα ασφαλείας των Windows 11 κάνει τον υπολογιστή σας «πολύ μη ελκυστικό» για τους χάκερ με κωδικό πρόσβασης

Η Microsoft εισήγαγε μια νέα προεπιλογή για την προστασία των μηχανών Windows 11 από επιθέσεις με κωδικό πρόσβασης, κάτι που θα έπρεπε να τις κάνει «πολύ μη ελκυστικό στόχο» για τους χάκερ που προσπαθούν να κλέψουν διαπιστευτήρια.

Η πιο πρόσφατη προεπισκόπηση των Windows 11 διατίθεται με τον περιοριστή ρυθμού ελέγχου ταυτότητας διακομιστή SMB ενεργοποιημένο από προεπιλογή, καθιστώντας πολύ πιο χρονοβόρο για τους εισβολείς να στοχεύουν τον διακομιστή με επιθέσεις εικασίας κωδικού πρόσβασης.   

«Η υπηρεσία διακομιστή SMB τώρα προεπιλογές μια προεπιλογή 2 δευτερολέπτων μεταξύ κάθε αποτυχημένου εισερχόμενου ελέγχου ταυτότητας NTLM, εξηγεί ο ειδικός ασφαλείας της Microsoft Ned Pyle. 

"Αυτό σημαίνει ότι εάν ένας εισβολέας έστελνε προηγουμένως 300 προσπάθειες ωμής βίας ανά δευτερόλεπτο από έναν πελάτη για 5 λεπτά (90,000 κωδικούς πρόσβασης), θα χρειαζόταν τώρα ο ίδιος αριθμός προσπαθειών 50 ώρες στο ελάχιστο. Ο στόχος εδώ είναι να γίνει μια μηχανή έναν πολύ μη ελκυστικό στόχο για επίθεση σε τοπικά διαπιστευτήρια μέσω SMB.»

Ο περιοριστής ποσοστού ήταν προεπισκόπηση αυτόν τον Μάρτιο αλλά είναι πλέον η προεπιλογή στα Windows 11. 

Το SMB αναφέρεται στο πρωτόκολλο κοινής χρήσης αρχείων δικτύου Server Message Block (SMB). Τα Windows και ο Windows Server έρχονται με ενεργοποιημένο τον διακομιστή SMB. Το NTLM αναφέρεται στο NT Lan Manager (NTLM) πρωτόκολλο για έλεγχο ταυτότητας πελάτη-διακομιστή με, για παράδειγμα, συνδέσεις NTLM της υπηρεσίας καταλόγου Active Directory (AD). 

Ένας εισβολέας σε ένα δίκτυο μπορεί να παρουσιαστεί ως «φιλικός διακομιστής» για να υποκλέψει τα διαπιστευτήρια NTLM που μεταδίδονται μεταξύ πελάτη και διακομιστή. Μια άλλη επιλογή είναι να χρησιμοποιήσετε ένα γνωστό όνομα χρήστη και στη συνέχεια να μαντέψετε τον κωδικό πρόσβασης με πολλές προσπάθειες σύνδεσης. Χωρίς την προεπιλεγμένη ρύθμιση περιοριστή ρυθμού, ένας εισβολέας θα μπορούσε να μαντέψει τον κωδικό πρόσβασης εντός ημερών ή ωρών, χωρίς να τον εντοπίσουν, σημειώνει ο Pyle.   

Η ρύθμιση περιοριστή προεπιλεγμένου ρυθμού SMB είναι διαθέσιμη στο το Windows 11 Insider Preview Build 25206 στο κανάλι προγραμματιστών. Ενώ ο διακομιστής SMB εκτελείται από προεπιλογή στα Windows, δεν είναι προσβάσιμος από προεπιλογή. Ωστόσο, ο περιοριστής ταχύτητας διακομιστή SMB εξυπηρετεί έναν σκοπό, επειδή οι διαχειριστές συχνά τον καθιστούν προσβάσιμο όταν δημιουργούν ένα κοινόχρηστο στοιχείο SMB πελάτη που ανοίγει το τείχος προστασίας.  

"Ξεκινώντας στο Build 25206, είναι ενεργοποιημένο από προεπιλογή και έχει οριστεί σε 2000ms (2 δευτερόλεπτα). Τυχόν εσφαλμένα ονόματα χρήστη ή κωδικοί πρόσβασης που αποστέλλονται στη SMB θα προκαλούν πλέον καθυστέρηση 2 δευτερολέπτων από προεπιλογή σε όλες τις εκδόσεις των Windows Insiders. Όταν κυκλοφόρησε για πρώτη φορά στα Windows Insiders, αυτός ο μηχανισμός προστασίας ήταν απενεργοποιημένος από προεπιλογή. Αυτή η αλλαγή συμπεριφοράς δεν έγινε στους Windows Server Insiders, εξακολουθεί να είναι προεπιλεγμένη στο 0», σημειώνει η ομάδα του Windows Insider. 

Η νέα προεπιλογή θα βοηθήσει σε περιπτώσεις όπου οι χρήστες ή οι διαχειριστές διαμορφώνουν μηχανές και δίκτυα με τρόπο που τους εκθέτει σε επιθέσεις εικασίας κωδικού πρόσβασης. 

"Εάν ο οργανισμός σας δεν διαθέτει λογισμικό ανίχνευσης εισβολής ή δεν ορίζει πολιτική κλειδώματος κωδικού πρόσβασης, ένας εισβολέας μπορεί να μαντέψει τον κωδικό πρόσβασης ενός χρήστη μέσα σε λίγες μέρες ή ώρες. Ένας καταναλωτής χρήστης που απενεργοποιεί το τείχος προστασίας του και φέρνει τη συσκευή του σε ένα μη ασφαλές δίκτυο έχει ένα παρόμοιο πρόβλημα», εξηγεί ο Pyle.   

Η Microsoft λανσάρει σταδιακά πιο ασφαλείς προεπιλογές στα Windows 11. Νωρίτερα φέτος εισήγαγε μια προεπιλεγμένη πολιτική κλειδώματος λογαριασμού για τον μετριασμό των επιθέσεων RDP και άλλων ωμής βίας με κωδικό πρόσβασης.

Και στην Ενημέρωση των Windows 11 2022, η Microsoft πρόσθεσε αρκετές ακόμη προεπιλογές ασφαλείας, όπως Έλεγχος Smart App για να επιτρέπει μόνο την ασφάλεια apps για εκτέλεση και από προεπιλογή αποκλεισμό αρχείων PowerShell, LNK και σεναρίων Visual Basic από το διαδίκτυο. 

Η Pyle έχει επίσης δημοσιεύσει μια επίδειξη του περιοριστή ρυθμού SMB σε δράση.