이 Windows 11 보안 기능은 PC를 암호 해커에게 '매우 매력적이지 않게' 만듭니다.

Microsoft는 자격 증명을 훔치려는 해커에게 "매우 매력적이지 않은 대상"이 되어야 하는 암호 공격으로부터 Windows 11 시스템을 보호하기 위해 새로운 기본값을 도입했습니다.

Windows 11의 최신 미리 보기에는 SMB 서버 인증 속도 제한기가 기본적으로 켜져 있으므로 공격자가 암호 추측 공격으로 서버를 대상으로 삼는 데 훨씬 더 많은 시간이 소요됩니다.   

“지금 중소기업 서버 서비스는 기본값은 각각의 실패한 인바운드 NTLM 인증 사이에 2초 기본값," Microsoft 보안 전문가 Ned Pyle이 설명합니다.. 

"이는 공격자가 이전에 300분 동안 클라이언트에서 초당 5번의 무차별 대입 시도(90,000개 암호)를 보냈다면 이제 동일한 시도 횟수가 50 시간 최소한. 여기서 목표는 시스템을 SMB를 통해 로컬 자격 증명을 공격하는 데 매우 매력적이지 않은 대상으로 만드는 것입니다.”

속도 제한기는 이번 XNUMX월에 미리보기 그러나 이제 Windows 11의 기본값입니다. 

SMB는 SMB(서버 메시지 블록) 네트워크 파일 공유 프로토콜을 나타냅니다. Windows 및 Windows Server는 SMB 서버가 활성화된 상태로 제공됩니다. NTLM은 NT 랜 관리자(NTLM) Active Directory(AD) NTLM 로그온과 같은 클라이언트-서버 인증을 위한 프로토콜입니다. 

네트워크의 공격자는 '친숙한 서버'로 가장하여 클라이언트와 서버 간에 전송되는 NTLM 자격 증명을 가로챌 수 있습니다. 또 다른 옵션은 알려진 사용자 이름을 사용한 다음 여러 번 로그온을 시도하여 암호를 추측하는 것입니다. 기본 속도 제한기 설정이 없으면 공격자는 발각되지 않고 며칠 또는 몇 시간 내에 암호를 추측할 수 있다고 Pyle은 말합니다.   

SMB 기본 속도 제한기 설정은 다음에서 사용할 수 있습니다. 개발자 채널에 대한 Windows 11 Insider Preview 빌드 25206. SMB 서버는 Windows에서 기본적으로 실행되지만 기본적으로 액세스할 수 없습니다. 그러나 SMB 서버 속도 제한기는 방화벽을 여는 고객 SMB 공유를 생성할 때 관리자가 종종 액세스할 수 있도록 하기 때문에 목적을 달성합니다.  

"빌드 25206부터 기본적으로 켜져 있고 2000ms(2초)로 설정되어 있습니다. SMB로 전송된 잘못된 사용자 이름이나 암호는 이제 모든 Windows 참가자 버전에서 기본적으로 2초 지연을 유발합니다. Windows Insider에 처음 출시되었을 때 이 보호 메커니즘은 기본적으로 꺼져 있습니다. 이 동작 변경은 Windows Server Insiders에 적용되지 않았으며 여전히 기본값은 0입니다."라고 Windows Insider 팀은 설명합니다. 

새 기본값은 사용자 또는 관리자가 암호 추측 공격에 노출되는 방식으로 컴퓨터와 네트워크를 구성하는 상황에서 도움이 됩니다. 

“조직에 침입 탐지 소프트웨어가 없거나 암호 잠금 정책을 설정하지 않은 경우 공격자는 며칠 또는 몇 시간 만에 사용자의 암호를 추측할 수 있습니다. 방화벽을 끄고 장치를 안전하지 않은 네트워크에 연결하는 소비자 사용자에게도 비슷한 문제가 있습니다.”라고 Pyle이 설명합니다.   

Microsoft는 Windows 11에서 더 안전한 기본값을 점진적으로 출시하고 있습니다. 올해 초 RDP 및 기타 무차별 암호 대입 공격을 완화하기 위해 기본 계정 잠금 정책을 도입했습니다.

그리고 Windows 11 2022 업데이트에서 Microsoft는 Smart App Control과 같은 몇 가지 보안 기본값을 더 추가하여 안전한 apps 실행하고 기본적으로 인터넷에서 PowerShell, LNK 파일 및 Visual Basic 스크립트를 차단합니다. 

Pyle은 또한 SMB 속도 제한기가 작동하는 데모를 게시했습니다.