Fitur keamanan Windows 11 ini membuat PC Anda 'sangat tidak menarik' bagi peretas kata sandi

Microsoft telah memperkenalkan default baru untuk melindungi mesin Windows 11 dari serangan kata sandi yang seharusnya menjadikannya "target yang sangat tidak menarik" bagi peretas yang mencoba mencuri kredensial.

Pratinjau terbaru Windows 11 dikirimkan dengan pembatas tingkat otentikasi server SMB secara default, sehingga jauh lebih memakan waktu bagi penyerang untuk menargetkan server dengan serangan menebak kata sandi.   

“Layanan server SMB sekarang default ke default 2 detik antara setiap otentikasi NTLM masuk yang gagal,” jelas pakar keamanan Microsoft Ned Pyle. 

“Ini berarti jika penyerang sebelumnya mengirim 300 upaya brute force per detik dari klien selama 5 menit (90,000 kata sandi), jumlah upaya yang sama sekarang akan diperlukan. 50 jam minimal. Tujuannya di sini adalah membuat mesin menjadi target yang sangat tidak menarik untuk menyerang kredensial lokal melalui SMB.”

Pembatas tarif adalah dipratinjau Maret ini tetapi sekarang menjadi default pada Windows 11. 

SMB mengacu pada protokol berbagi file jaringan Server Message Block (SMB). Windows dan Windows Server hadir dengan server SMB yang diaktifkan. NTLM mengacu pada Manajer Lan NT (NTLM) protokol untuk otentikasi client-sever dengan, misalnya, logon NTLM Active Directory (AD). 

Penyerang di jaringan dapat berpura-pura sebagai 'server yang ramah' untuk mencegat kredensial NTLM yang dikirimkan antara klien dan server. Pilihan lain adalah menggunakan nama pengguna yang dikenal dan kemudian menebak kata sandi dengan beberapa kali upaya masuk. Tanpa pengaturan pembatas kecepatan default, penyerang dapat menebak kata sandi dalam beberapa hari atau jam, tanpa ketahuan, catat Pyle.   

Pengaturan pembatas kecepatan default SMB tersedia di Windows 11 Insider Preview Build 25206 ke Dev Channel. Meskipun server SMB berjalan secara default di Windows, server tersebut tidak dapat diakses secara default. Namun, pembatas kecepatan server SMB akan memiliki tujuan karena admin sering membuatnya dapat diakses saat membuat bagian SMB pelanggan yang membuka firewall.  

“Mulai di Build 25206, diaktifkan secara default dan disetel ke 2000ms (2 detik). Setiap nama pengguna atau kata sandi yang buruk yang dikirim ke SMB sekarang akan menyebabkan penundaan 2 detik secara default di semua edisi Windows Insiders. Saat pertama kali dirilis ke Windows Insiders, mekanisme perlindungan ini dinonaktifkan secara default. Perubahan perilaku ini tidak dilakukan untuk Windows Server Insiders, masih default ke 0, ”catatan tim Windows Insider. 

Default baru akan membantu dalam situasi di mana pengguna atau admin mengonfigurasi mesin dan jaringan dengan cara yang membuat mereka terkena serangan tebak kata sandi. 

“Jika organisasi Anda tidak memiliki perangkat lunak pendeteksi penyusupan atau tidak menetapkan kebijakan penguncian kata sandi, penyerang mungkin menebak kata sandi pengguna dalam hitungan hari atau jam. Seorang pengguna konsumen yang mematikan firewall mereka dan membawa perangkat mereka ke jaringan yang tidak aman memiliki masalah yang sama,” jelas Pyle.   

Microsoft secara bertahap meluncurkan default yang lebih aman di Windows 11. Awal tahun ini memperkenalkan kebijakan penguncian akun default untuk mengurangi RDP dan serangan kata sandi brute force lainnya.

Dan dalam Pembaruan Windows 11 2022 Microsoft menambahkan beberapa default keamanan lagi, seperti Kontrol Aplikasi Cerdas untuk hanya mengizinkan keamanan apps untuk menjalankan, dan secara default memblokir PowerShell, file LNK, dan skrip Visual Basic dari internet. 

Pyle juga telah memposting demo pembatas tarif SMB yang sedang beraksi.