Zaradi te varnostne funkcije sistema Windows 11 je vaš računalnik 'zelo neprivlačen' za hekerje z gesli

Microsoft je uvedel novo privzeto nastavitev za zaščito računalnikov z operacijskim sistemom Windows 11 pred napadi z gesli, zaradi česar naj bi bili "zelo neprivlačna tarča" za hekerje, ki poskušajo ukrasti poverilnice.

Najnovejši predogled sistema Windows 11 je dobavljen s privzeto vklopljenim omejevalnikom stopnje preverjanja pristnosti strežnika SMB, zaradi česar napadalcem vzame veliko več časa, da ciljajo na strežnik z napadi z ugibanjem gesel.   

»Strežniška storitev SMB zdaj privzeto nastavljeno na 2-sekundni privzeti čas med vsako neuspešno vhodno avtentikacijo NTLM,« pojasnjuje Microsoftov strokovnjak za varnost Ned Pyle. 

»To pomeni, da če je napadalec pred tem poslal 300 poskusov surove sile od odjemalca v 5 minutah (90,000 gesel), bi zdaj trajalo enako število poskusov. 50 ur najmanj. Cilj tukaj je narediti stroj zelo neprivlačno tarčo za napad na lokalne poverilnice prek SMB.«

Omejevalnik hitrosti je bil predogled letos marca vendar je zdaj privzeto v sistemu Windows 11. 

SMB se nanaša na omrežni protokol za skupno rabo datotek Server Message Block (SMB). Windows in Windows Server imata omogočen strežnik SMB. NTLM se nanaša na NT Lan Manager (NTLM) protokol za preverjanje pristnosti odjemalskega strežnika z na primer prijavami NTLM v Active Directory (AD). 

Napadalec v omrežju se lahko predstavlja kot "prijazen strežnik" za prestrezanje poverilnic NTLM, ki se prenašajo med odjemalcem in strežnikom. Druga možnost je uporaba znanega uporabniškega imena in nato ugibanje gesla z večkratnimi poskusi prijave. Brez privzete nastavitve omejevalnika hitrosti bi lahko napadalec uganil geslo v nekaj dneh ali urah, ne da bi bil opažen, ugotavlja Pyle.   

Nastavitev privzetega omejevalnika hitrosti SMB je na voljo v Windows 11 Insider Preview Build 25206 na Dev Channel. Medtem ko strežnik SMB deluje privzeto v sistemu Windows, ni privzeto dostopen. Vendar pa bo omejevalnik hitrosti strežnika SMB služil svojemu namenu, saj skrbniki pogosto omogočijo dostop do njega, ko ustvarjajo skupno rabo strank SMB, ki odpre požarni zid.  

»Od različice Build 25206 je privzeto vklopljen in nastavljen na 2000 ms (2 sekundi). Vsa napačna uporabniška imena ali gesla, poslana podjetju SMB, bodo zdaj privzeto povzročila 2-sekundno zakasnitev v vseh izdajah programa Windows Insiders. Ko je bil prvič objavljen za Windows Insiders, je bil ta zaščitni mehanizem privzeto izklopljen. Ta sprememba vedenja ni bila narejena za Windows Server Insiders, še vedno je privzeta vrednost 0,« ugotavlja skupina Windows Insider. 

Nova privzeta vrednost bi morala pomagati v primerih, ko uporabniki ali skrbniki konfigurirajo stroje in omrežja na način, ki jih izpostavi napadom z ugibanjem gesel. 

»Če vaša organizacija nima programske opreme za zaznavanje vdorov ali ne nastavi politike zaklepanja gesla, lahko napadalec ugane uporabnikovo geslo v nekaj dneh ali urah. Uporabnik, ki izklopi požarni zid in prenese svojo napravo v nevarno omrežje, ima podobno težavo,« pojasnjuje Pyle.   

Microsoft postopoma uvaja bolj varne privzete nastavitve v sistemu Windows 11. V začetku tega leta je uvedel privzeto politiko zaklepanja računa za ublažitev RDP in drugih napadov z gesli na silo.

V posodobitvi sistema Windows 11 2022 je Microsoft dodal še več varnostnih privzetih nastavitev, kot je Smart App Control, ki omogoča samo varno apps za zagon in privzeto blokira PowerShell, datoteke LNK in skripte Visual Basic iz interneta. 

Pyle je objavil tudi predstavitev delovanja omejevalnika hitrosti SMB.