Deze beveiligingsfunctie van Windows 11 maakt uw pc 'zeer onaantrekkelijk' voor wachtwoordhackers

Microsoft heeft een nieuwe standaard geïntroduceerd om Windows 11-machines te beschermen tegen wachtwoordaanvallen, waardoor ze "een zeer onaantrekkelijk doelwit" zouden moeten zijn voor hackers die inloggegevens proberen te stelen.

De nieuwste preview van Windows 11 wordt standaard geleverd met de SMB-server-authenticatiesnelheidsbegrenzer, waardoor het voor aanvallers veel tijdrovender is om de server aan te vallen met aanvallen op basis van wachtwoorden.   

“De SMB-serverservice nu standaard een standaard van 2 seconden tussen elke mislukte inkomende NTLM-authenticatie,” legt Microsoft-beveiligingsexpert Ned Pyle uit. 

“Dit betekent dat als een aanvaller voorheen 300 brute force-pogingen per seconde gedurende 5 minuten (90,000 wachtwoorden) vanaf een client zou sturen, hetzelfde aantal pogingen nu zou duren. 50 uur kunt opladen ten minste. Het doel hier is om van een machine een zeer onaantrekkelijk doelwit te maken voor het aanvallen van lokale inloggegevens via SMB.”

De snelheidsbegrenzer was: preview van maart maar is nu de standaard op Windows 11. 

SMB verwijst naar het Server Message Block (SMB) netwerkprotocol voor het delen van bestanden. Windows en Windows Server worden geleverd met de SMB-server ingeschakeld. NTLM verwijst naar de NT Lan-manager (NTLM) protocol voor client-server-authenticatie met bijvoorbeeld Active Directory (AD) NTLM-aanmeldingen. 

Een aanvaller op een netwerk kan zich voordoen als een 'vriendelijke server' om NTLM-inloggegevens te onderscheppen die tussen client en server worden verzonden. Een andere optie is om een ​​bekende gebruikersnaam te gebruiken en vervolgens het wachtwoord te raden met meerdere aanmeldingspogingen. Zonder de standaard instelling van de snelheidsbegrenzer zou een aanvaller het wachtwoord binnen dagen of uren kunnen raden, zonder opgemerkt te worden, merkt Pyle op.   

De standaardinstelling voor de SMB-snelheidsbegrenzer is beschikbaar in de Windows 11 Insider Preview Build 25206 naar het Dev Channel. Hoewel de SMB-server standaard in Windows draait, is deze standaard niet toegankelijk. De snelheidsbegrenzer van de SMB-server heeft echter een doel, omdat beheerders deze vaak toegankelijk maken bij het maken van een SMB-share voor klanten die de firewall opent.  

“Vanaf Build 25206 is het standaard ingeschakeld en ingesteld op 2000 ms (2 seconden). Alle slechte gebruikersnamen of wachtwoorden die naar SMB worden verzonden, veroorzaken nu standaard een vertraging van 2 seconden in alle edities van Windows Insiders. Toen het voor het eerst werd vrijgegeven aan Windows Insiders, was dit beveiligingsmechanisme standaard uitgeschakeld. Deze gedragsverandering is niet aangebracht in Windows Server Insiders, maar staat nog steeds standaard op 0”, merkt het Windows Insider-team op. 

De nieuwe standaard zou moeten helpen in situaties waarin gebruikers of beheerders machines en netwerken zo configureren dat ze worden blootgesteld aan aanvallen met wachtwoorden. 

“Als uw organisatie geen inbraakdetectiesoftware heeft of geen wachtwoordvergrendelingsbeleid instelt, kan een aanvaller het wachtwoord van een gebruiker binnen enkele dagen of uren raden. Een consumentengebruiker die zijn firewall uitschakelt en zijn apparaat naar een onveilig netwerk brengt, heeft een soortgelijk probleem”, legt Pyle uit.   

Microsoft implementeert geleidelijk veiligere standaardinstellingen in Windows 11. Eerder dit jaar introduceerde het een standaardbeleid voor accountvergrendeling om RDP en andere brute force-wachtwoordaanvallen te verminderen.

En in de Windows 11 2022 Update heeft Microsoft nog een aantal beveiligingsstandaarden toegevoegd, zoals Smart App Control om alleen veilige apps uitvoeren en standaard PowerShell-, LNK-bestanden en Visual Basic-scripts van internet blokkeren. 

Pyle heeft ook een demo geplaatst van de SMB-snelheidsbegrenzer in actie.