Tämä Windows 11 -suojausominaisuus tekee tietokoneestasi "erittäin houkuttelemattoman" salasanahakkereille

Microsoft on ottanut käyttöön uuden oletusasetuksen Windows 11 -koneiden suojaamiseksi salasanahyökkäyksiä vastaan, minkä pitäisi tehdä niistä "erittäin epämiellyttävä kohde" tunnistetietoja varastaa yrittäville hakkereille.

Windows 11:n uusimmassa esikatselussa on oletuksena käytössä SMB-palvelimen todennusnopeuden rajoitin, mikä tekee hyökkääjiltä paljon aikaavievämpää kohdistaa palvelimeen salasanan arvaushyökkäyksillä.   

"SMB-palvelinpalvelu nyt oletuksena 2 sekunnin oletusarvo jokaisen epäonnistuneen saapuvan NTLM-todennuksen välillä" selittää Microsoftin tietoturvaasiantuntija Ned Pyle. 

"Tämä tarkoittaa, että jos hyökkääjä lähetti aiemmin 300 brute force yritystä sekunnissa asiakkaalta 5 minuutin ajan (90,000 XNUMX salasanaa), sama määrä yrityksiä kestäisi nyt 50 tuntia vähintään. Tavoitteena on tehdä koneesta erittäin epämiellyttävä kohde hyökätä paikallisia tunnistetietoja vastaan ​​SMB:n kautta."

Nopeuden rajoitin oli esikatselu tänä maaliskuussa mutta se on nyt oletusarvo Windows 11:ssä. 

SMB tarkoittaa SMB (Server Message Block) -verkkotiedostonjakoprotokollaa. Windowsissa ja Windows Serverissä on SMB-palvelin käytössä. NTLM viittaa NT Lan Manager (NTLM) protokolla asiakaspalvelintodennusta varten esimerkiksi Active Directory (AD) NTLM-kirjautumisilla. 

Verkossa oleva hyökkääjä voi esiintyä "ystävällisenä palvelimena" siepatakseen asiakkaan ja palvelimen välillä lähetetyt NTLM-tunnistetiedot. Toinen vaihtoehto on käyttää tunnettua käyttäjätunnusta ja sitten arvata salasana useiden kirjautumisyritysten yhteydessä. Ilman oletusarvon rajoitusasetusta hyökkääjä voisi arvata salasanan päivien tai tuntien kuluessa huomaamatta, Pyle huomauttaa.   

SMB:n oletusnopeuden rajoitusasetus on käytettävissä Windows 11 Insider Preview Build 25206 Dev Channeliin. Vaikka SMB-palvelin toimii oletuksena Windowsissa, se ei ole oletusarvoisesti käytettävissä. SMB-palvelimen nopeuden rajoittimella on kuitenkin tarkoitus, koska järjestelmänvalvojat tekevät sen usein käytettäväksi luodessaan asiakkaan SMB-osuuden, joka avaa palomuurin.  

"Build 25206:sta alkaen se on oletuksena päällä ja asetettu arvoon 2000 ms (2 sekuntia). Kaikki SMB:lle lähetetyt huonot käyttäjätunnukset tai salasanat aiheuttavat nyt oletusarvoisesti 2 sekunnin viiveen kaikissa Windows Insiders -versioissa. Kun tämä suojausmekanismi julkaistiin ensimmäisen kerran Windows Insidersille, se oli oletuksena pois päältä. Tätä käyttäytymismuutosta ei tehty Windows Server Insidersille, sen oletusarvo on edelleen 0", Windows Insider -tiimi huomauttaa. 

Uuden oletuksen pitäisi auttaa tilanteissa, joissa käyttäjät tai järjestelmänvalvojat määrittävät koneet ja verkot tavalla, joka altistaa ne salasanan arvaushyökkäyksille. 

"Jos organisaatiollasi ei ole tunkeutumisen havaitsemisohjelmistoa tai se ei aseta salasanasulkukäytäntöä, hyökkääjä saattaa arvata käyttäjän salasanan muutamassa päivässä tai tunnissa. Kuluttajakäyttäjällä, joka sammuttaa palomuurinsa ja tuo laitteensa vaaralliseen verkkoon, on samanlainen ongelma”, Pyle selittää.   

Microsoft ottaa vähitellen käyttöön turvallisempia oletusasetuksia Windows 11:ssä. Aiemmin tänä vuonna se otti käyttöön tilin oletussulkukäytännön lieventämään RDP:tä ja muita raakoja salasanahyökkäyksiä.

Ja Windows 11 2022 -päivitykseen Microsoft lisäsi useita muita suojausoletusasetuksia, kuten Smart App Controlin sallimaan vain turvallisen apps ja oletuksena estää PowerShell-, LNK-tiedostot ja Visual Basic -komentosarjat Internetistä. 

Pyle on myös julkaissut demon SMB-nopeudenrajoittimesta toiminnassa.