Denna säkerhetsfunktion i Windows 11 gör din dator "mycket oattraktiv" för lösenordshackare

Microsoft har introducerat en ny standard för att skydda Windows 11-maskiner mot lösenordsattacker som borde göra dem till "ett mycket oattraktivt mål" för hackare som försöker stjäla referenser.

Den senaste förhandsvisningen av Windows 11 levereras med SMB-serverautentiseringshastighetsbegränsaren på som standard, vilket gör det mycket mer tidskrävande för angripare att rikta in sig på servern med lösenordsgissande attacker.   

"SMB-servertjänsten nu standard till en 2-sekunders standard mellan varje misslyckad inkommande NTLM-autentisering." förklarar Microsofts säkerhetsexpert Ned Pyle. 

"Detta betyder att om en angripare tidigare skickade 300 brute force-försök per sekund från en klient i 5 minuter (90,000 XNUMX lösenord), skulle samma antal försök nu ta 50 timmar som ett minimum. Målet här är att göra en maskin till ett mycket oattraktivt mål för att attackera lokala referenser genom SMB.”

Takstbegränsaren var förhandsgranskad i mars men är nu standard på Windows 11. 

SMB hänvisar till nätverksfildelningsprotokollet för servermeddelandeblock (SMB). Windows och Windows Server levereras med SMB-servern aktiverad. NTLM hänvisar till NT Lan Manager (NTLM) protokoll för klientserverautentisering med till exempel Active Directory (AD) NTLM-inloggningar. 

En angripare på ett nätverk kan posera som en "vänlig server" för att fånga upp NTLM-referenser som överförs mellan klient och server. Ett annat alternativ är att använda ett känt användarnamn och sedan gissa lösenordet med flera inloggningsförsök. Utan standardinställningen för hastighetsbegränsare kan en angripare gissa lösenordet inom dagar eller timmar, utan att bli upptäckt, konstaterar Pyle.   

Standardinställningen för SMB-hastighetsbegränsare är tillgänglig i Windows 11 Insider Preview Build 25206 till Dev Channel. Medan SMB-servern körs som standard i Windows, är den inte tillgänglig som standard. SMB-serverns hastighetsbegränsare kommer dock att tjäna ett syfte eftersom administratörer ofta gör den tillgänglig när de skapar en kund-SMB-andel som öppnar brandväggen.  

"Från och med Build 25206 är den på som standard och inställd på 2000ms (2 sekunder). Alla felaktiga användarnamn eller lösenord som skickas till SMB kommer nu att orsaka en 2 sekunders fördröjning som standard i alla utgåvor av Windows Insiders. När den först släpptes till Windows Insiders var denna skyddsmekanism avstängd som standard. Den här beteendeförändringen gjordes inte för Windows Server Insiders, den är fortfarande standard på 0", noterar Windows Insider-teamet. 

Den nya standarden bör hjälpa i situationer där användare eller administratörer konfigurerar maskiner och nätverk på ett sätt som utsätter dem för lösenordsgissningsattacker. 

"Om din organisation inte har någon programvara för intrångsdetektering eller inte ställer in en lösenordslåsningspolicy kan en angripare gissa en användares lösenord inom några dagar eller timmar. En konsumentanvändare som stänger av sin brandvägg och tar sin enhet till ett osäkert nätverk har ett liknande problem”, förklarar Pyle.   

Microsoft rullar gradvis ut säkrare standardinställningar i Windows 11. Tidigare i år introducerades en standardpolicy för kontolåsning för att mildra RDP och andra brute force lösenordsattacker.

Och i Windows 11 2022-uppdateringen lade Microsoft till flera fler säkerhetsstandarder, som Smart App Control för att endast tillåta säker apps att köra, och som standard blockerar PowerShell, LNK-filer och Visual Basic-skript från internet. 

Pyle har också publicerat en demo av SMB-hastighetsbegränsaren i aktion.