คุณลักษณะด้านความปลอดภัยของ Windows 11 นี้ทำให้พีซีของคุณ 'ไม่สวย' สำหรับแฮกเกอร์รหัสผ่าน

Microsoft ได้แนะนำค่าเริ่มต้นใหม่เพื่อป้องกันเครื่อง Windows 11 จากการโจมตีด้วยรหัสผ่านซึ่งจะทำให้พวกเขาเป็น "เป้าหมายที่ไม่น่าสนใจ" สำหรับแฮ็กเกอร์ที่พยายามขโมยข้อมูลประจำตัว

ตัวอย่างล่าสุดของ Windows 11 มาพร้อมกับตัวจำกัดอัตราการพิสูจน์ตัวตนเซิร์ฟเวอร์ SMB โดยค่าเริ่มต้น ทำให้ผู้โจมตีใช้เวลามากขึ้นในการกำหนดเป้าหมายเซิร์ฟเวอร์ด้วยการโจมตีแบบคาดเดารหัสผ่าน   

“บริการเซิร์ฟเวอร์ SMB ตอนนี้ ค่าเริ่มต้นเป็น ค่าเริ่มต้น 2 วินาทีระหว่างการตรวจสอบ NTLM ขาเข้าแต่ละครั้งล้มเหลว” อธิบาย Ned Pyle . ผู้เชี่ยวชาญด้านความปลอดภัยของ Microsoft. 

“ซึ่งหมายความว่าหากผู้โจมตีเคยส่งความพยายามดุร้าย 300 ครั้งต่อวินาทีจากลูกค้าเป็นเวลา 5 นาที (90,000 รหัสผ่าน) จำนวนครั้งของความพยายามเท่าเดิม ชั่วโมง 50 อย่างน้อยที่สุด เป้าหมายที่นี่คือการทำให้เครื่องเป็นเป้าหมายที่ไม่น่าสนใจสำหรับการโจมตีข้อมูลประจำตัวในพื้นที่ผ่าน SMB”

ตัวจำกัดอัตราคือ แสดงตัวอย่างเดือนมีนาคมนี้ แต่ตอนนี้เป็นค่าเริ่มต้นใน Windows 11 

SMB หมายถึงโปรโตคอลการแชร์ไฟล์เครือข่าย Server Message Block (SMB) Windows และ Windows Server มาพร้อมกับเซิร์ฟเวอร์ SMB ที่เปิดใช้งาน NTLM หมายถึง ผู้จัดการ NT Lan (NTLM) โปรโตคอลสำหรับการตรวจสอบสิทธิ์เซิร์ฟเวอร์ไคลเอ็นต์ด้วย ตัวอย่างเช่น การเข้าสู่ระบบ Active Directory (AD) NTLM 

ผู้โจมตีบนเครือข่ายอาจเป็น 'เซิร์ฟเวอร์ที่เป็นมิตร' เพื่อสกัดกั้นข้อมูลประจำตัว NTLM ที่ส่งระหว่างไคลเอนต์และเซิร์ฟเวอร์ อีกทางเลือกหนึ่งคือการใช้ชื่อผู้ใช้ที่รู้จักแล้วเดารหัสผ่านด้วยการพยายามเข้าสู่ระบบหลายครั้ง หากไม่มีการตั้งค่าตัวจำกัดอัตราเริ่มต้น ผู้โจมตีสามารถเดารหัสผ่านได้ภายในไม่กี่วันหรือหลายชั่วโมงโดยไม่มีใครสังเกตเห็น Pyle กล่าว   

การตั้งค่าตัวจำกัดอัตราเริ่มต้นของ SMB มีอยู่ใน Windows 11 Insider Preview Build 25206 ไปยัง Dev Channel. แม้ว่าเซิร์ฟเวอร์ SMB จะทำงานโดยค่าเริ่มต้นใน Windows แต่จะไม่สามารถเข้าถึงได้ตามค่าเริ่มต้น อย่างไรก็ตาม ตัวจำกัดอัตราเซิร์ฟเวอร์ SMB จะให้บริการตามวัตถุประสงค์ เนื่องจากผู้ดูแลระบบมักจะทำให้สามารถเข้าถึงได้เมื่อสร้างการแชร์ SMB ของลูกค้าที่เปิดไฟร์วอลล์  

“เริ่มต้นใน Build 25206 จะเปิดโดยค่าเริ่มต้นและตั้งค่าเป็น 2000ms (2 วินาที) ชื่อผู้ใช้หรือรหัสผ่านที่ไม่ถูกต้องใดๆ ที่ส่งไปยัง SMB จะทำให้เกิดความล่าช้า 2 วินาทีตามค่าเริ่มต้นใน Windows Insiders ทุกรุ่น เมื่อเปิดตัว Windows Insiders เป็นครั้งแรก กลไกการป้องกันนี้ถูกปิดโดยค่าเริ่มต้น การเปลี่ยนแปลงลักษณะการทำงานนี้ไม่ได้เกิดขึ้นกับ Windows Server Insider แต่ยังคงมีค่าเริ่มต้นเป็น 0” ทีมงาน Windows Insider กล่าว 

ค่าเริ่มต้นใหม่ควรช่วยในสถานการณ์ที่ผู้ใช้หรือผู้ดูแลระบบกำหนดค่าเครื่องและเครือข่ายในลักษณะที่เปิดเผยต่อการคาดเดารหัสผ่าน 

“หากองค์กรของคุณไม่มีซอฟต์แวร์ตรวจจับการบุกรุกหรือไม่ได้กำหนดนโยบายการล็อกรหัสผ่าน ผู้โจมตีอาจคาดเดารหัสผ่านของผู้ใช้ภายในเวลาไม่กี่วันหรือหลายชั่วโมง ผู้ใช้ที่เป็นผู้บริโภคซึ่งปิดไฟร์วอลล์และนำอุปกรณ์ไปยังเครือข่ายที่ไม่ปลอดภัยก็ประสบปัญหาที่คล้ายกัน” Pyle อธิบาย   

Microsoft กำลังทยอยเปิดตัวค่าเริ่มต้นที่ปลอดภัยยิ่งขึ้นใน Windows 11 เมื่อต้นปีนี้ ทาง Microsoft ได้แนะนำนโยบายการล็อกบัญชีเริ่มต้นเพื่อลด RDP และการโจมตีด้วยรหัสผ่านแบบเดรัจฉานอื่นๆ

และในการอัปเดต Windows 11 2022 Microsoft ได้เพิ่มค่าเริ่มต้นการรักษาความปลอดภัยอีกหลายอย่าง เช่น Smart App Control เพื่ออนุญาตเฉพาะความปลอดภัย apps เพื่อเรียกใช้และโดยค่าเริ่มต้นจะบล็อก PowerShell ไฟล์ LNK และสคริปต์ Visual Basic จากอินเทอร์เน็ต 

Pyle ยังได้โพสต์ตัวอย่างการใช้งานตัวจำกัดอัตรา SMB