Ta funkcja zabezpieczeń systemu Windows 11 sprawia, że ​​Twój komputer jest „bardzo nieatrakcyjny” dla hakerów haseł

Microsoft wprowadził nową domyślną ochronę komputerów z systemem Windows 11 przed atakami na hasła, co powinno uczynić je „bardzo nieatrakcyjnym celem” dla hakerów próbujących ukraść dane uwierzytelniające.

Najnowsza wersja zapoznawcza systemu Windows 11 jest domyślnie dostarczana z ogranicznikiem szybkości uwierzytelniania serwera SMB, co sprawia, że ​​atakowanie serwera za pomocą ataków polegających na odgadywaniu hasła jest znacznie bardziej czasochłonne.   

„Usługa serwera SMB teraz domyślnie to 2 sekundy domyślne między każdym nieudanym uwierzytelnianiem przychodzącym NTLM” wyjaśnia ekspert ds. bezpieczeństwa firmy Microsoft Ned Pyle. 

„Oznacza to, że jeśli atakujący wcześniej wysyłał od klienta 300 prób brute force na sekundę przez 5 minut (90,000 XNUMX haseł), taka sama liczba prób wymagałaby teraz 50 godzin minimalnie. Celem jest uczynienie z maszyny bardzo nieatrakcyjnego celu do atakowania lokalnych danych uwierzytelniających za pośrednictwem SMB”.

Ogranicznik szybkości był podgląd w marcu ale jest teraz domyślny w systemie Windows 11. 

SMB odnosi się do sieciowego protokołu udostępniania plików Server Message Block (SMB). Systemy Windows i Windows Server są dostarczane z włączonym serwerem SMB. NTLM odnosi się do Menedżer sieci NT (NTLM) protokół uwierzytelniania klient-serwer, na przykład z logowaniem NTLM w usłudze Active Directory (AD). 

Atakujący w sieci może podszywać się pod „przyjazny serwer” do przechwytywania poświadczeń NTLM przesyłanych między klientem a serwerem. Inną opcją jest użycie znanej nazwy użytkownika, a następnie odgadnięcie hasła przy wielu próbach logowania. Bez domyślnego ustawienia ogranicznika szybkości atakujący mógłby odgadnąć hasło w ciągu dni lub godzin, nie będąc wykrytym, zauważa Pyle.   

Ustawienie domyślnego ogranicznika szybkości SMB jest dostępne w Windows 11 Insider Preview kompilacja 25206 do kanału deweloperskiego. Chociaż serwer SMB działa domyślnie w systemie Windows, domyślnie nie jest dostępny. Ogranicznik szybkości serwera SMB będzie jednak służył celowi, ponieważ administratorzy często udostępniają go podczas tworzenia udziału SMB klienta, który otwiera zaporę.  

„Począwszy od kompilacji 25206, jest on domyślnie włączony i ustawiony na 2000 ms (2 sekundy). Wszelkie nieprawidłowe nazwy użytkownika lub hasła wysłane do SMB będą teraz domyślnie powodować 2-sekundowe opóźnienie we wszystkich wersjach niejawnych testerów systemu Windows. Po pierwszym udostępnieniu niejawnym testerom systemu Windows ten mechanizm ochrony był domyślnie wyłączony. Ta zmiana zachowania nie została wprowadzona w przypadku niejawnych testerów systemu Windows Server, nadal ma wartość domyślną 0” — zauważa zespół Windows Insider. 

Nowa wartość domyślna powinna pomóc w sytuacjach, w których użytkownicy lub administratorzy konfigurują maszyny i sieci w sposób, który naraża ich na ataki polegające na zgadywaniu hasła. 

„Jeśli Twoja organizacja nie ma oprogramowania do wykrywania włamań lub nie ustanowiła zasad blokowania hasła, osoba atakująca może odgadnąć hasło użytkownika w ciągu kilku dni lub godzin. Podobny problem ma użytkownik konsumencki, który wyłącza zaporę ogniową i przenosi swoje urządzenie do niebezpiecznej sieci” — wyjaśnia Pyle.   

Microsoft stopniowo wprowadza bezpieczniejsze ustawienia domyślne w systemie Windows 11. Na początku tego roku wprowadził domyślną politykę blokowania kont, aby złagodzić RDP i inne ataki typu brute force na hasła.

A w aktualizacji Windows 11 2022 Microsoft dodał kilka dodatkowych domyślnych zabezpieczeń, takich jak Smart App Control, aby umożliwić tylko bezpieczne apps do uruchomienia i domyślnie blokuje pliki PowerShell, LNK i skrypty Visual Basic z Internetu. 

Pyle opublikował również demo ogranicznika szybkości SMB w akcji.