Эта функция безопасности Windows 11 делает ваш компьютер «очень непривлекательным» для взломщиков паролей

Microsoft ввела новый стандарт по умолчанию для защиты компьютеров с Windows 11 от атак с использованием пароля, что должно сделать их «очень непривлекательной целью» для хакеров, пытающихся украсть учетные данные.

Последняя предварительная версия Windows 11 поставляется с включенным по умолчанию ограничителем скорости аутентификации SMB-сервера, из-за чего злоумышленникам требуется гораздо больше времени для атаки на сервер с подбором пароля.   

«Сервис SMB теперь по умолчанию 2-секундный интервал по умолчанию между каждой неудачной входящей проверкой подлинности NTLM». объясняет эксперт Microsoft по безопасности Нед Пайл. 

«Это означает, что если ранее злоумышленник отправлял от клиента 300 попыток перебора в секунду в течение 5 минут (90,000 XNUMX паролей), то теперь потребуется такое же количество попыток. 50 часа минимум. Цель здесь — сделать машину очень непривлекательной мишенью для атаки на локальные учетные данные через SMB».

Ограничитель скорости был предварительный просмотр в марте но теперь он используется по умолчанию в Windows 11. 

SMB относится к сетевому протоколу обмена файлами Server Message Block (SMB). Windows и Windows Server поставляются с включенным сервером SMB. NTLM относится к Менеджер локальной сети NT (NTLM) протокол для аутентификации клиент-сервер, например, с входом в Active Directory (AD) NTLM. 

Злоумышленник в сети может выдать себя за «дружественный сервер» для перехвата учетных данных NTLM, передаваемых между клиентом и сервером. Другой вариант — использовать известное имя пользователя, а затем угадывать пароль при нескольких попытках входа в систему. Пайл отмечает, что без настройки ограничения скорости по умолчанию злоумышленник может угадать пароль в течение нескольких дней или часов, не будучи обнаруженным.   

Параметр ограничителя скорости SMB по умолчанию доступен в Windows 11 Insider Preview Build 25206 для канала разработчиков. Хотя сервер SMB работает по умолчанию в Windows, он по умолчанию недоступен. Однако ограничитель скорости сервера SMB будет служить цели, потому что администраторы часто делают его доступным при создании общего ресурса SMB клиента, который открывает брандмауэр.  

«Начиная со сборки 25206, он включен по умолчанию и установлен на 2000 мс (2 секунды). Любые неверные имена пользователей или пароли, отправленные в SMB, теперь по умолчанию вызывают 2-секундную задержку во всех выпусках программы предварительной оценки Windows. При первом выпуске для участников программы предварительной оценки Windows этот механизм защиты был отключен по умолчанию. Это изменение поведения не коснулось инсайдеров Windows Server, по умолчанию оно по-прежнему равно 0», — отмечает команда инсайдеров Windows. 

Новое значение по умолчанию должно помочь в ситуациях, когда пользователи или администраторы настраивают машины и сети таким образом, что подвергают их атакам с подбором пароля. 

«Если в вашей организации нет программного обеспечения для обнаружения вторжений или не установлена ​​политика блокировки паролей, злоумышленник может угадать пароль пользователя за считанные дни или часы. Пользователь-потребитель, отключивший свой брандмауэр и подключивший свое устройство к небезопасной сети, сталкивается с аналогичной проблемой», — объясняет Пайл.   

Microsoft постепенно внедряет более безопасные настройки по умолчанию в Windows 11. Ранее в этом году она ввела политику блокировки учетной записи по умолчанию, чтобы смягчить RDP и другие атаки с подбором пароля.

А в обновлении Windows 11 2022 Microsoft добавила еще несколько параметров безопасности по умолчанию, таких как Smart App Control, чтобы разрешать только безопасные apps для запуска и по умолчанию блокирует PowerShell, файлы LNK и сценарии Visual Basic из Интернета. 

Пайл также опубликовал демонстрацию ограничителя скорости SMB в действии.